Administracin de la Seguridad

1
Administración de la Seguridad

• M.C. Juan Carlos Olivares Rojas
• Septiembre 2009

2
Agenda

• La vulnerabilidad
• Las amenazas
• Los riesgos
• Los ataques
• Los recursos a proteger
• Control de acceso
• Detección de intrusos
• Detección de código malicioso
• Auditorias de seguridad

3
Síntomas de Riesgo

• Un síntoma es la salida de una función normal que
  indica una posible anormalidad. Un síntoma es
  subjetivo, es observado por el paciente y no
  medible
• Los síntomas pueden ser crónicos, retardados o
  esporádicos. Se pueden mejorar o empeorar.
• Un signo es notificado por otras personas

4
Administración de Riesgos

• La administración de riesgos es una etapa crucial
  para el aseguramiento de los activos de
  información.
• La administración de riesgos incluye la detección
  de riesgos y el control de los mismos.
• Qué es el riesgo?
• Es la probabilidad de que una actividad no
  deseada ocurra.

5
Administración del Riesgo

• Todas las actividades tienen riesgo. No existe
  una actividad 100 ni 0 riesgosa.

6
La vulnerabilidad

• Es un factor interno caracterizado por un hueco
  de seguridad (una debilidad del sistema) que
  puede ser aprovechada por una amenaza.
• Las vulnerabilidades deben ser los elementos que
  deban atender los controles de seguridad para
  asegurar a los activos de información.

7
Las amenazas

• Son factores externos que pueden aprovechar las
  vulnerabilidades de un sistema para exponer a un
  activo de información.
• Las amenazas son más difíciles de prevenir dado
  que ya no podemos anticiparnos del todo.
• Los controles tienden a minimizar las amenazas y
  vulnerabilidades.

8
Los ataques

• Se dan cuando se combina una amenaza con una
  vulnerabilidad.
• Los ataques son cuantificados al impacto que
  pueden producir, generalmente expresados en
  dinero.
• El impacto puede darse por ejemplo al no tener un
  recurso disponible causando pérdidas económicas
  al no poder trabajar o bien un daño de imagen
  social.

9
Administración del Riesgo
Cuál es la probabilidad de que este evento
ocurra?
10
Los riesgos

• Calculado por el producto de la probabilidad de
  ocurrencia de la amenaza vs los impactos que
  tendría el activo de materializarse dicha
  amenaza.
• Los riesgos generalmente son calculados a nivel
  estadístico como el número de frecuencia en que
  ha ocurrido un evento contra el número total de
  eventos disponibles.

11
Evaluación del Riesgo

• Existen muchas metodologías para calcular el
  riesgo. Todas ellas dependen de los usuarios.
• Los riesgos se calculan en tres niveles alto,
  medio y bajo.
• Los riesgos son calculados por dimensiones como
  impacto y frecuencia de ocurrencia.

12
Evaluación del Riesgo
13
Modelado de Riesgos
Explotan
Amenazas
Vulnerabilidades
Protección contra
Aumenta
Aumenta
Exponen
Riesgo
Activos
Controles
Reduce
Establece
Tiene
Implementan
Aumenta
Valor del activo
Requerimientos de seguridad
Impacto en la organización
14
Modelado de Riesgos

• Deben intervenir además del personal de
  seguridad, los dueños, custodios y usuarios de
  los activos de información.
• Existen dos tipos de análisis de riesgo Existen
  dos tipos de análisis de riesgos
• Cualitativo y cuantitativo.

15
Modelado de Riesgos
16
Modelado de Riesgos
17
Matriz de Riesgos
18
Matriz de Riesgos
19
Matriz de Riesgos
20
Matriz de Riesgos
21
Reglas del Negocio
Atención a Clientes
Ejemplos más estructurados
Reglas de Operación
Facturación
Entrega de Servicios
22
Simuladores de Riesgo

• Seguros de Vida
• 194.224.248.32/simuladores/
• Simuladores de Negocios
• http//www.gameonsoftware.com/index.htm
• http//www.beer-war.com/
• http//www.riskybusiness.com/

23
Pasos Recomendados en una Estrategia de Seguridad
24
Evaluación de Activos
25
Caso 1

• El Hospital Santa Cecilia, el cual cuenta con
  más de 100 años de operación en la ciudad de
  Monterrey. Cuenta con tres hospitales satélites
  en donde se atienden urgencias y medicina
  familiar.
• Desde hace dos años implementó un sistema para
  sistematizar las historias clínicas de sus
  pacientes. Al momento llevan un 30 de avance en
  la captura de esa información, por lo que existe
  todavía gran cantidad de información en archivos
  de papel.

26
Caso 1

• El Hospital cuenta con más de 300 equipos de
  cómputo conectados a través de su red local, los
  cuales mantienen estrecha comunicación con el
  equipo central.
• Así mismo maneja conexiones con aseguradoras para
  la transferencia de información referente a
  trámites de sus pacientes.

27
Caso 1

• Hace cinco años el hospital se conectó a
  Internet, ya que esto facilitaba la comunicación
  con sus clientes y proveedores.
• Existen canales de comunicación tales como el
  correo electrónico y mensajería, por donde fluye
  todo tipo de información (incluyendo la
  transferencia de archivos).

28
Caso 1

• A mediados del año pasado lanzó su portal del
  área de laboratorio y check up, con lo cual sus
  clientes pueden acceder a sus resultados de
  laboratorio y enviárselos a su doctor.
• Dentro de los planes de expansión, el hospital
  está considerando asociarse con la Clínica Mayo
  con el fin de transferir tecnología y establecer
  acuerdos de investigación.

29
Caso 1

• Actualmente el Hospital cuenta con un Centro de
  Investigación líder a nivel mundial en
  Neurocirugía y cuenta con dos investigadores que
  han ganado premios Nobel por las investigaciones
  realizadas en este campo. Esto le ha dado una
  ventaja competitiva a este hospital.
• En los próximos meses se empezará a realizar un
  reemplazo de equipo de cómputo y se necesita
  tomar una decisión sobre como disponer del equipo
  viejo.

30
Actividad 1

• En base al caso anterior realizar un análisis de
  riesgo. Se deberá utilizar la metodología
  anteriormente descrita.
• Para cada activo de información presentar
  posibles controles a implementar para mitigar.
• Existen metodologías más robustas y complejas
  como Cobra para la administración del riesgo.

31
Los recursos a proteger

• Los recursos a proteger son muy variados.
• El análisis de riesgos es una herramienta que nos
  va a permitir tomar mejores decisiones sobre que
  activos de información se deben de proteger y en
  que orden.
• En algunas ocasiones se revisa el control interno
  de la organización para determinar el valor de
  sus activos.

32
Control de acceso

• Es una tecnología, política, proceso o
  procedimiento que contrarresta una amenaza y por
  consecuencia mitiga los riesgos asociados a un
  activo.
• Los controles de acceso se encargan de asegurar
  que los activos de información los utilicen quien
  debe de utilizarlos. Nótese que no se valida su
  correcto funcionamiento.

33
Controles de A. ISO 27000

• A.11.1 Business requirement for access control.
  Objetivo una política de control de acceso debe
  ser establecida, documentada y revisada en base a
  los requerimientos de negocio.
• A.11.2 User access management Los temas que se
  norman en términos generales son Habilitación de
  cuentas y registro de usuarios, mediante un
  proceso formal y expedito que incluya altas,
  bajas, suspensiones y cambios de los mismos

34
Controles de Acceso

• A.11.3 User responsibilities
• Objetivo Prevenir acceso no autorizado y evitar
  comprometer o el robo de información Uso de
  contraseñas, se deben seguir las mejores
  prácticas en la selección y uso de contraseñas.
  Escritorio limpio y equipo no atendido, los
  usuarios deben guardar en forma segura la
  información crítica del negocio que esté en
  cualquiera de sus.

35
Control de Acceso

• A.11.5 Operating system access control
• Los accesos específicos a los sistemas operativos
  de la infraestructura de TI deben ser controlados
  por procedimientos de identificación y
  autenticación robustos, se debe minimizar el
  desplegar una vez que los usuarios tienen acceso
  a estos sistemas información del tipo y versión
  del sistema operativo para evitar brindar
  información innecesaria

36
Control de Acceso

• A.11.6 Application and information access
  control El acceso a la información y sistemas de
  información ya sea por usuarios o personal de
  soporte debe ser restringido de acuerdo con el
  proceso de asignación de privilegios. La
  infraestructura de cómputo de los sistemas de
  información con información sensitiva debe ser
  separada para evitar accesos no autorizados. Se
  debe limitar y registrar el número de intentos
  fallidos de conexión de los usuarios de los
  sistemas de información.

37
Base Line

• Un base line es un conjunto de reglas
  establecidas que forman una base de normas o
  prácticas sobre un proceso o sistema.
• Estas normas o prácticas son establecidas
  normalmente como una base de comparación entre
  organizaciones o empresas para verificar un nivel
  de cumplimiento.

38
Base Line

• Para poder establecer un base line, se requieren
  varios elementos
• basarse en algunos estándares internacionales o
  mejores prácticas,
• normas publicadas por algunas organizaciones
  reconocidas internacionalmente y
• experiencias obtenidas por la práctica en las
  organizaciones.

39
Base Line

• Establecer un base line en seguridad de
  información, requiere mucha experiencia y
  madurez, no es muy práctico solo copiar base
  line de otras organizaciones dado que cada
  organización es diferente, tiene necesidades
  diferentes de acuerdo a sus niveles de madurez y
  necesidades.
• Generalmente están listados en orden de
  importancia aunque pueden no serlo.

40
Base Line Control Acceso

• Para cada activo de información y sistema de
  información debe existir una bitácora externa al
  mismo para el registro de usuarios autorizados
  para acceder a los mismos.
• Debe establecerse procedimientos para verificar
  que el nivel de acceso concedido es apropiado
  para el propósito de negocio y que sea
  consistente con la directriz de control de accesos

41
Base Line Control de Acceso

• El procedimiento de creación de usuarios debe
  indicar como se otorga la autorización requerida
  antes de otorgar el acceso solicitado.
• El formato de solicitud de autorización para dar
  de alta o modificación de un usuario a un activo
  con los siguientes campos
• Nombre del usuario
• Sistema o aplicación al cual requiere acceso,
  revocación o modificación.

42
Base Line Control de Acceso

• Organización a la que pertenece
• Privilegios solicitados
• Gerencia que solicita el acceso
• El usuario final que se le brinda el acceso debe
  recibir una notificación con el permiso
  otorgado, privilegios y responsabilidades
  asociadas a la cuenta o en su defecto la razón
  por la que fue denegado el acceso

43
Base Line Control de Acceso

• Se debe asegurar no proporcionar accesos hasta no
  completar los procedimientos de autorización
  establecidos.
• Se debe mantener un registro formal de todas las
  personas registradas con derecho a usar los
  activos de información o sistemas de información.
  

44
Base Line Control de Acceso

• La autorización del acceso al sistema debe
  realizarse por el administrador de a cargo de la
  custodia del activo de información o sistema de
  información y debe registrarse en la bitácora de
  usuarios autorizados
• La bitácora de registro de usuarios debe tener al
  menos los siguientes campos
• Nombre usuario
• Organización a la que pertenece
• Identificador del usuario en el sistema

45
Base Line Control de Acceso

• Grupo al que pertenece (en caso que los
  privilegios se administren por grupo)
• Rol del usuario en el sistema Administrador,
  Desarrollador de software, Operador de respaldo,
  etc.
• Usuario de aplicación
• Privilegios otorgados en el sistema o aplicación
• Fecha en que fueron otorgados
• Estado actual del usuario
• Fecha del último cambio en los accesos
• Persona que autorizó la creación de usuario y los
  privilegios otorgados

46
Base Line Control de Acceso

• En el caso que un activo de información o sistema
  de información se entregue en custodia a una
  determinada organización se debe firmar una carta
  responsiva en la cual acepta la responsabilidad
  de la custodia del activo de información así como
  de las operaciones autorizadas a ejecutar

47
Base Line Control de Acceso

• La organización usuaria debe notificar al
  custodio del activo de información o del sistema
  de información cuando un usuario haya cambiado de
  rol o haya salido de la compañía para la
  revocación inmediata del acceso.
• Se debe remover inmediatamente los derechos de
  acceso cambiado de área de trabajo o abandonado
  la organización.

48
Base Line Control de Acceso

• Se debe de verificar periódicamente las cuentas
  de los usuarios y remover aquellos
  identificadores de usuarios que resulten
  redundantes.
• Métricas
• Número de Altas y Bajas de usuarios
• Número de autorizaciones para dar de alta o
  modificación de un usuario a un activo de
  información
• Número de usuarios con acceso permitido.

49
Detección de intrusos

• La detección de intrusos es una actividad díficil
  de llevarse acabo.
• Se puede realizar la detección de intrusos con
  herramientas como la auditoria, los controles de
  acceso entre otras.
• Más que la detección nos interesa el
  aseguramiento del activo.

50
Detección de código malicioso

• La detección de código malicioso también es una
  actividad complicada de llevar acabo dado que no
  tenemos la certeza de las actividades que va a
  realizar un software hasta que este se ejecuta.
• Basándose en ese principio nuestra seguridad está
  condicionada a los efectos visibles (patrones o
  firmas) que se presenten y aun conociéndolos no
  tenemos la certeza absoluta que pueda ser
  malicioso.

51
Ejercicio de Análisis de Riesgos

• Resolver los siguientes problemas por parejas,
  realizar una exposición en la que se de solución
  al problema.
• Qué métricas permitirían ver que tan efectivo es
  el control implementado?
• Entrega próximo sábado.

52
Ejercicio 2

• Entre los incidentes más recientes en el Hospital
  Santa Cecilia se cuentan los siguientes
• Se han detectado numerosos equipos a los cuales
  los empleados le han instalado aplicaciones como
  Hotbar y Messenger Plus. Otros tienen
  instalados utilerías que les permiten ver la
  temperatura de la ciudad en su desktop. Sin
  embargo, estas aplicaciones son shareware y no
  están soportadas.

53
Ejercicio 2

• Se han reportado clientes del hospital
  notificando la recepción de un mail con una liga
  que les solicita la actualización de los datos
  para ingresar al portal del Laboratorio. El
  hospital nunca ha enviado mensajes de ese tipo.
• Su portal de banca electrónica estuvo
  sobrecargado durante dos días imposibilitando a
  sus clientes acceder al mismo.

54
Ejercicio 2

• Existe software no licenciado instalado en los
  equipos del hospital.
• Un empleado de sistemas fue despedido y en
  represalia copió el archivo de contraseñas de
  acceso al sistema de información de pacientes.
• Se detectó virus en diversos equipos a pesar de
  contar con software antivirus instalado.

55
Ejercicio 2

• Se han detectado accesos no autorizados a los
  sistemas.
• Qué eventos de los explicados en la sesión han
  afectado al hospital?
• Con base en tu experiencia que harías para
  corregir esta situación?

56
Ejercicio 3

• Identifica qué principio y activo es el más
  importante para cada una de las siguientes
  organizaciones. Justifica tu respuesta.
• Secretaría de Hacienda
• Ejército
• Empresa farmacéutica
• Amazon.com
• Sistema de Escolar de una Universidad

57
Ejercicio 3

• Sistema de emergencias telefónica 066
• Su equipo de cómputo personal.
• Banco
• Carrier de telecomunicaciones.
• Coca Cola.

58
Ejercicio 4

• La empresa Alfa-2030 ha estado trabajando en los
  últimos años desarrollando servicios on-line de
  seguros de todo tipo para empresas. Su negocio
  está basado en transacciones en Internet a través
  de su portal de Internet donde los clientes
  realizan todas sus transacciones como
  contratación de los seguros, pagos electrónicos
  en línea, renovaciones, reclamaciones,
  cancelaciones, etc.

59
Ejercicio 4

• Esta empresa ha experimentado desde hace meses
  ciertos incidentes en materia de seguridad de
  información, que a continuación se describen
• Recién se ha creado el equipo de seguridad de
  información de la empresa, sus procesos
  operativos de Seguridad son incipientes
  (respaldos de información, manejo de capacidad,
  controles de acceso lógico, etc.).

60
Ejercicio 4

• La tecnología para proteger la seguridad de
  información ha estado poco ausente de hecho este
  equipo de Seguridad ha iniciado con planes de
  adquirir tecnologías.
• El presidente de la empresa ha solicitado a un
  experto en seguridad de información que estime
  los riesgos para cada una de las siguientes
  amenazas

61
Ejercicio 4

• Acceso no autorizado a la información de los
  clientes.
• Software malicioso que afecte a los principales
  sistemas de la empresa
• Denegación de servicios a su portal de Internet

62
Ejercicio 4

• A partir del caso anterior, escriba un reporte
  donde determine los riesgos (niveles) para cada
  una de las amenazas descritas, tendrá que
  justificar sus respuestas en cuanto a describir
  las vulnerabilidades y sus impactos.
• De manera adicional, escriba un reporte, donde
  mencionen al menos 5 controles de Seguridad de
  información que mitiguen las amenazas descritas
  en este caso. 

63
Ejercicio 5

• La empresa Alfa-2030 ha decidido iniciar con un
  programa formal de Seguridad de información como
  una función importante y su propio presupuesto en
  la organización, Ricardo Aranguren ha sido
  nombrado como Director de Seguridad de
  Información dependiendo en forma directa de la
  Dirección General, de momento sólo se la ha
  asignado a tres personas para esta nueva función.

64
Ejercicio 5

• Lo primero que la dirección general le ha
  solicitado al Director de seguridad de
  información es establecer una política específica
  del uso del e-mail dado que han ocurrido
  últimamente incidentes en el mismo tales como
  virus y gusanos que han causado pérdidas al
  negocio, además hay personal que al parecer abusa
  de este servicio haciendo mal uso del mismo.

65
Ejercicio 5

• Escribe un reporte con está política especifica
  con un mínimo de 6 párrafos (cuerpo de la
  política). Asegúrate que este documento contenga
  estas secciones
• Antecedentes
• Objetivo
• Cuerpo del documento
• Responsabilidades
• Definición de términos

66
Ejercicio 6

• La empresa Alfa-2030 ha estado trabajando en los
  últimos años desarrollando servicios on-line de
  seguros de todo tipo para empresas. Su negocio
  está basado en transacciones en Internet a través
  de su portal de Internet donde los clientes
  realizan todas sus transacciones como
  contratación de los seguros, pagos electrónicos
  en línea, renovaciones, reclamaciones,
  cancelaciones, etc.

67
Ejercicio 6

• El Director general ha solicitado realizar un
  plan de trabajo para desarrollar los
  procedimientos operativos de Seguridad de
  información para su portal de Internet.
• Se debe realizar un reporte que seleccione la
  prioridad del desarrollo de los siguientes
  procedimientos operativos (justifiquen su
  respuesta)

68
Ejercicio 6

• Procedimientos de respaldos de Información
• Procedimientos de control de acceso lógico a la
  información
• Procedimientos de control de cambios
• Procedimientos de control de software malicioso

69
Ejercicio 7

• EL Hospital El Milagro ha estado desarrollando
  actividades en el medio por más de 5 años, el
  director del Hospital le ha llamado a un equipo
  especializado en seguridad de información debido
  a que se ha sentido frustrado por haber invertido
  mucho dinero en seguridad de información sin
  tener resultados positivos.
• EL director en una entrevista mencionó lo
  siguiente (en resumen)

70
Ejercicio 7

• El área de seguridad depende del área de redes
• Al parecer nunca le alcanza al Hospital el dinero
  que se solicita para inversiones en el área de
  seguridad.
• Los usuarios de los sistemas de información
  tienen la impresión que la función de seguridad
  nunca los ha tomado en cuenta.

71
Ejercicio 7

• El gasto de inversión en equipos de seguridad
  como Firewalls, licencias de antivirus,
  detectores de intrusos, etc. se ha disparado.
• Al parecer estos equipos no han sido efectivos
  dado que han ocurrido incidentes de Seguridad y
  no se ha protegido al Hospital de estos impactos
  causados.
• Hace poco un auditor externo mencionó que no vio
  ningún procedimiento operativo de seguridad.

72
Ejercicio 7

• El encargado de redes batalla mucho para que le
  apruebe los proyectos el Hospital dado que el
  lenguaje que usa es muy técnico.
• Realizar un comentario que brinde consejos al
  Director General para poder ir armando la
  estrategia de la función de Seguridad de
  Información, favor de justificar sus respuestas.

73
Ejercicio 7

• De manera adicional se deben realizar las
  siguientes actividades
• Visión de seguridad de información (a 5 años)
• Misión de seguridad de información
• Que dimensión será la más relevante en un
  Hospital (Disponibilidad, confidencialidad,
  Integridad, autenticidad y no repudiación)
• Establecer 5 objetivos de seguridad de
  información.

74
Ejercicio 8

• Retomando el caso del Hospital Santa Cecilia y de
  acuerdo a la información proporcionada en el
  mismo realiza lo siguiente
• Escribe una política de seguridad corporativa
  (Máximo tres párrafos).
• Identifica tres políticas específicas que
  consideras deben de desarrollarse.

75
Ejercicio 8

• Lista tres recomendaciones que harías a los
  empleados del hospital en cuanto a
• Respaldo de información
• Correo electrónico
• Manejo de usuarios y contraseñas
• Uso de equipo de cómputo.

76
Ejercicio 9

• El proveedor de servicios de Internet Inter-Fly,
  el cual cuenta con más de 10 años de operación en
  las tres principales ciudades México, Monterrey
  y Guadalajara. Ofrece servicios de Internet
  dedicados de alta capacidad a empresas grandes y
  medianas.

77
Ejercicio 9

• Hace aproximadamente un año implementó un sistema
  para presentar las facturas de los clientes en
  línea, el tráfico cursado por día y la opción de
  pagar las facturas mediante tarjetas de crédito
  corporativas y/o transferencias electrónicas.
• La empresa cuenta con una granja de servidores
  Web los cuales presentan el portal hacia los
  clientes y atienden sus peticiones.

78
Ejercicio 9

• Los servidores Web se conectan hacia un sistema
  de base de datos configurados en alta
  disponibilidad los cuales almacenan las facturas,
  los registros, las transacciones, las consultas,
  los datos completos de los clientes, los números
  de las tarjetas de crédito y los números de
  cuentas de cheques de los clientes.
• Adicionalmente cuentan con switches, enrutadores,
  cortafuegos y otros elementos de protección para
  garantizar la seguridad del servicio.

79
Ejercicio 9

• La operación del proveedor de servicios de
  Internet es centralizada y no considera ningún
  tipo de redundancia geográfica.
• La empresa no cuenta con un programa o modelo de
  seguridad de información corporativo pero esta en
  sus planes estratégicos para el próximo año. La
  seguridad de la empresa se basa en operadores y
  administradores de equipos y servidores los
  cuales manejan la seguridad de los mismos.

80
Ejercicio 9

• Inter-Fly ha decidido implementar muchos de sus
  servicios a sus clientes vía Internet, necesitan
  saber que elementos de seguridad necesita
  implementar en su red local.

81
Ejercicio 10

• La Universidad  Valle del Norte, la cual cuenta
  con más de 100 años de operación en la ciudad de
  Monterrey. Cuenta con 10 campus en diversas
  ciudades de la República.
• Esta Universidad ha dedicado muchos recursos en
  sus sistemas de administración escolar,
  administración financiera y plataforma de cursos
  en línea.

82
Ejercicio 10

• Cuenta con más  3,000 equipos de cómputo
  conectados a través de sus redes locales, los
  cuales mantienen estrecha comunicación con
  equipos centrales.
• Así mismo maneja conexiones con otras
  Universidades que tienen centros de
  investigación.

83
Ejercicio 10

• El rector de la Universidad ha llamado a un grupo
  de expertos de Seguridad de Información para
  obtener consejos debido a que se han presentado
  ciertos incidentes penosos como alteración
  indebida de calificaciones y cursos en línea,
  ataques al portal de cursos en línea, epidemias
  de virus en algunos sistemas como el financiero,
  pérdida de información en los sistemas debido a
  problemas de hardware, los sistemas de
  inscripciones de han caído en la última
  inscripción, etc.

84
Ejercicio 10

• En una entrevista con el director de Informática
  se pudo visualizar ciertas problemáticas
  generales como son
• Al parecer cuentan con redes locales muy extensas
  o con una deficiente segmentación.
• No cuentan con una estructura de firewalls para
  proteger sus redes de Internet ni para uso
  interno.

85
Ejercicio 10

• No cuenta con sistemas de antivirus debidamente
  actualizados.
• No han tenido tiempo para desarrollar los
  procedimientos operativos más importantes para el
  día a día.
• No existe una política de uso de recursos
  computacionales (se detectan acceso a sitios
  inmorales).

86
Ejercicio 10

• No cuentan con una plataforma ni procesos
  robustos de controles de acceso.
• Han instalado redes inalámbricas en forma
  descontrolada.
• Ha habido robo de laptops a alumnos y a
  profesores dentro de la Universidad.

87
Ejercicio 10

• Los equipos de las salas de alumnos son
  continuamente des-configurados.
• Hay quejas de falta de capacidad en el sitio
  central así como en sus comunicaciones.
• Para cada incidente de seguridad proponer
  mecanismos de control que ayuden a evitar el
  riesgo.

88
Auditorias de seguridad

• La auditoria es la evaluación de una persona,
  sistema, proceso, proyecto o producto.
• La auditoría se utiliza como mecanismo de control
  para logar el aseguramiento de la calidad.
• La auditoría se centra en verificar y validar el
  control interno de una organización. En cuestión
  de seguridad es lo mismo.

89
Auditorías de Seguridad

• La auditoría describe como se hacen las cosas, no
  tanto su existencia. Por ejemplo al auditar una
  base de datos se está validando el uso de la base
  de datos y no su existencia.
• La auditoría es todo un proceso de verificación
  de lo que se dice ser con lo que se tiene.
• Las auditorías pueden ser generales o técnicas

90
Auditoría de Seguridad

• La auditoría de seguridad es una auditoria
  técnica. Se recomienda que sea una auditoria de
  control superior (externa) aunque es deseable que
  se haga de manera interna para control interno.
• La auditoría en general y la especializada en
  seguridad debe de realizarse en los procesos de
  negocios de las organizaciones.

91
Auditorías de Seguridad

• Qué es lo que se audita?
• Activos de información y la información misma
  respecto a como se usa y que se cumplan las
  políticas de seguridad.

92
Auditorías de Seguridad
93
Auditorías de Seguridad

• El proceso de auditoria finaliza con un reporte
  en el cual se indican los hallazgos encontrados y
  la evidencia que confirma dichos hallazgos.
• Si no se tiene evidencia sustantiva no se puede
  sustentar ninguna opinión profesional.
• Con la evidencia recabada se debe de poder
  reconstruir la instantánea de lo evaluado.

94
Auditorías de Seguridad

• Para realizar auditorías de seguridad se requiere
  previamente realizar planeación. Sino se tiene un
  plan de auditorías no se puede garantizar que es
  seguro.
• Se pueden utilizar herramientas de análisis de
  vulnerabilidades para revisar posibles activos.
• Es más recomendable utilizar versiones propias de
  análisis de vulnerabilidades.

95
Auditorías de Seguridad

• Se pueden realizar a través de forma manual o
  auxiliándose de alguna herramienta actualizada.
• Los auditores no solucionan los problemas
  encontrados, sólo los reportan de la misma forma
  que en desarrollo de software un tester prueba no
  codifica.

96
Ejemplo de Auditoría

• Qué hace el siguiente pseudocódigo?
• W, X, Y, Z real
• READ W, X
• Z 1
• While (z gt 0.01) do
• Y X (((XX) W)/ (2X))
• Z abs(X Y)
• X Y
• End While
• Print X

97
Referencias

• Senft, S. And Gallegos, F. (2008) Information
  Technology Control and Audit, Third Edition, CRC
  Press, United States
• Hall, H, Information Auditing, School of
  Computing, Napier University, 2009.
• Boiko, UW iSchool, Information Audits,
  ischool.washington.edu, 2009.

98
Preguntas?