AUDITORIA DE SISTEMAS DE INFORMACION

Normas ISO que se pueden aplicar en una Auditora en Informtica

KATHERIN ZAVALA NAJERA
D-2960 18 DE JUNIO DEL 2013

NORMAS ISO QUE SE PUEDEN APLICAR EN UNA AUDITORIA INFORMATICA As como la auditora contable controla los sistemas y registraciones de su contabilidad, la auditoria informtica es la encargada de verificar que sus sistemas y procesos informticos funcionen adecuadamente para las funciones que han sido programados y sus activos digitales se encuentren debidamente protegidos. Las reas sujetas a auditoria informtica son: Hardware Redes y comunicaciones Infraestructura elctrica Soporte y mantenimiento Seguridad lgica y fsica Software Desarrollo de sistemas Procesamiento de datos Normas, procedimientos y documentacin Recursos humanos intervinientes en los procesos informticos y sus responsabilidades Costos

Como el campo de accin de auditoria informtica es muy amplio, se efecta distintos tipos de auditoras, se tom un modelo de referencia a las normas que correspondan a cada caso de estudio. Auditoria de seguridad informtica ISO 17799 La Norma ISO/IEC 17799 (denominada tambin como ISO 27002) es un estndar para la seguridad de la informacin publicado por la International Organization for Standardization y por la Comisin Electrotcnica Internacional, con el ttulo de Information technology - Security techniques - Code of practice for information security management. La Seguridad de la Informacin basada en la norma ISO 17799, la podemos definir como la preservacin de las siguientes caractersticas: confidencialidad: se garantiza que la informacin sea accesible slo a aquellas personas autorizadas a tener acceso a ella. integridad: se salvaguarda la exactitud y totalidad de la informacin y los mtodos de procesamiento. disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la informacin y a los recursos relacionados con ella toda vez que se requiera.

La seguridad informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de los activos digitales, uso del software, proteccin de los datos, procesos, as como a los procedimientos, normas de orden y autorizacin de acceso de los usuarios a la informacin, etc. La auditora de Seguridad Informtica podemos dividirla en: Auditoria de Seguridad Global, basados en las normas ISO 17799 BS7799 ISO 27001 Auditoria de Seguridad del Centro de Cmputos (Data Centers) basados en las normas NFPA75, TIA 942. Auditoria de Seguridad de Sistemas Operativos y Componentes de Red. (Vulnerability Assesment.) Auditoria de Impacto de los Riesgos de la Seguridad Informtica. Test de Penetracin e Intrusin. (Ethical Hacking).

Auditoria Informtica de Seguridad Global, basados en las normas ISO 17799 BS7799 ISO 27001 La decisin de realizar una Auditoria Informtica de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que est sometida. Es esencial para una organizacin identificar sus requerimientos en materia de seguridad. Existen tres recursos principales para lograrlo. El primer recurso consiste en evaluar los riesgos que enfrenta la organizacin. Mediante la evaluacin de riesgos se identifican las amenazas a los activos, se evalan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial. El segundo recurso est constituido por los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir la organizacin, sus socios comerciales, los contratistas y los prestadores de servicios. El tercer recurso es el conjunto especfico de principios, objetivos y requisitos para el procesamiento de la informacin, que ha desarrollado la organizacin para respaldar sus operaciones.

Con origen en la norma britnica BS7799, la ISO 17799 es la especificacin tcnica de nivel internacional en materia de Seguridad de la Informacin. Establece la base comn para desarrollar

normas de seguridad dentro de las organizaciones. Define diez dominios de control que cubren por completo la Gestin de la Seguridad de la Informacin.

Auditoria Seguridad de Centro de Cmputos (Data Centers) basados en las normas NFPA75, TIA 942. La auditora de Seguridad de Centro de Cmputos (Data Centers) est basada en las normas NFPA75 y TIA 942. El propsito del estndar TIA 942 es proveer los requerimientos y las guas para el diseo e instalacin de Centros de Cmputo (Data Centers). Se auditar la planificacin de la ubicacin, sistemas de cableado y diseo de la red, topologa del piso para lograr el balance apropiado entre seguridad, densidad de racks, etc. TIA-942 permite que el diseo del Data Center sea considerado desde el proceso de desarrollo del edificio, contribuyendo a consideraciones arquitectnicas sobre distintos esfuerzos en el rea de diseo, promoviendo as la cooperacin entre las fases de su construccin. El estndar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece los requisitos para la construccin con computadoras necesitando proteccin contra incendios y edificacin, habitaciones, reas, o ambientes operacionales especiales. La aplicacin est basada en consideraciones de riesgo tal como los aspectos de interrupcin de negocio de la funcin o amenazas de fuego a la instalacin.

Auditoria de Seguridad de Sistemas Operativos y Componentes de Red.(Vulnerability Assesment.) Se analizarn y cuantificarn las vulnerabilidades encontradas en los sistemas operativos y componentes de red. Se estudiarn las polticas de seguridad implementadas, los responsables designados para el mantenimiento de los mismos. Se evaluar si los sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico adquiridos por la instalacin y determinadas versiones de aquellas. Se revisarn los parmetros variables de las Libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el desarrollador.

Auditoria del Impacto de los Riesgos de la Seguridad Informtica. Los requerimientos de seguridad se identifican mediante una evaluacin metdica de los riesgos de seguridad. La evaluacin de riesgos es una consideracin sistemtica de los siguientes puntos:

impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potenciales consecuencias por una prdida de la confidencialidad, integridad o disponibilidad de la informacin y otros recursos; probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados. Es importante llevar a cabo revisiones peridicas de los riesgos de seguridad y de los controles implementados a fin de: reflejar los cambios en los requerimientos y prioridades de la empresa; considerar nuevas amenazas y vulnerabilidades; corroborar que los controles siguen siendo eficaces y apropiados.

Test de Penetracin e Intrusin. (Ethical Hacking). El Test de Penetracin es un mtodo de auditoria mediante el cual se evala la seguridad de los sistemas de proteccin perimetral de una empresa as como los diferentes sistemas que estn accesibles desde Internet (routers exteriores, firewall, servidores web, de correo, de noticias, etc), intentando penetrar en ellos y de esta forma alcanzar zonas de la red de una empresa como puede ser la red interna o la DMZ. Las metodologas en las que basamos nuestros trabajos son OpenSource OSSTMM e ISSAF. Los aspectos relevados son: Estudio de la Red: Anlisis de la red del cliente con el objetivo de obtener un mapa detallado de la misma. Escaneo de puertos e identificacin de servicios: Anlisis de las posibles vas de entrada a las mquinas contratadas identificando las caractersticas y servicios de las mismas. Se realiza un escaneo automtico y manual (selectivo) de puertos sobre cada una de las IPs contratadas por el cliente. Test automtico de vulnerabilidades: Utilizando tanto herramientas propias como externas se determinan las deficiencias de seguridad que existen en los sistemas analizados. Password cracking: Se intentan obtener cuentas de usuarios (login y password) del sistema analizado a travs de herramientas automticas utilizadas por los hackers. Se utilizan passwords por defecto del sistema, ataques por fuerza bruta, diccionarios de passwords, etc. Documentacin Alcanzada: Recopilacin de la mayor cantidad de informacin susceptible de ser utilizada para quebrar cualquiera de las protecciones de las que pudiera disponer la empresa.

Utilizando toda la informacin que se encuentre accesible desde Internet: web corporativa y de los empleados, grupos de noticias, bases de datos de bsqueda de trabajo, etc. Test de los sistemas de confianza: El objetivo es encontrar vulnerabilidades en los sistemas analizando las relaciones de confianza o dependencias que existen entre ellos. Test de las medidas de contencin: Comprueba la existencia de herramientas de contencin y el nivel de defensa que ofrecen frente a la llegada de cdigo malicioso (troyanos, ActiveX o applets dainos, etc.). Test del sistema de deteccin de intrusos (IDS): Anlisis de los IDS con la finalidad de estudiar su reaccin al recibir mltiples y variados ataques. Anlisis de los logs del IDS. La ISO 13335, o Directrices para la Gestin de la Seguridad GMITS, ofrece un marco de referencia especialmente acuanto a las tcnicas de gestin de riesgos y al criterio de seleccin de las contramedidas. La ISO 15408 o Criterios Comunes CC, con el objeto de reducir el nivel de riesgos conforme lo determina la norma BS 7799-2, permite seleccionar una gama de productos a modo de contramedidas con certificacin de los niveles de aseguramiento que proporcionan. La ISO 21827, o Ingeniera de Seguridad de Sistemas, Modelo de Madurez de Capacidad SSECMM, tambin es un marco de referencia, en este caso respecto al nivel de madurez de los procesos relacionados especialmente con los riesgos y el aseguramiento que define la BS 7799-2 bajo el esquema de mejoramiento continuo del ciclo PDCA.