Professional Documents
Culture Documents
25 Aos
AUDITORA DE SEGURIDAD
INFORMTICA
PROCESO DE
ANLISIS DE RIEGOS
Creacin de un inventario de activos.
Simplificacin de activos en dominios.
Deteccin de vulnerabilidades y amenazas
asociadas.
Se
utilizan
complementariamente los servicios de
Hacking tico si as se solicita.
Evaluacin de probabilidades e impactos.
Anlisis de controles ISO implantados.
Obtencin del riesgo.
LA GESTIN DE
LOS RIESGOS
Aplicacin de las medidas de salvaguarda con el
objetivo de reducirlos al nivel deseado.
VULNERABILIDADES
Son los puntos ms dbiles que, al ser explotados por
amenazas, afectan la confidencialidad, disponibilidad e
integridad de la informacin de un individuo o empresa.
TIPOS DE
AMENAZAS
Fsicas
Naturales
De Hardware
De Software
De Almacenamiento
De Conexin
Humanas
PROGRAMACIN
SEGURA
Es una rama de la programacin que estudia la seguridad
del cdigo fuente de un software cuyo objetivo es encontrar
y solucionar los errores de software, esto incluye:
Utilizacin de funciones seguras para proteger de desbordamientos de pila.
Declaracin segura de estructura de datos.
Control del trabajo con el flujo de datos.
Anlisis profundo de otros errores de software mediante testeos del software en ejecucin
y creacin de parches para los mismos.
Diseo de parches heursticos y meta heursticos para proveer un cierto grado de
seguridad proactiva.
Utilizacin de criptografa.
Otros mtodos para evitar que el software sea crackeado.
CDIGOS MALICIOSOS
Los cdigos maliciosos constituyen, en la actualidad, una de
las amenazas informticas ms propagadas y una de las
que mayor prdida econmica y de tiempo proyecta en
ambientes hogareos y corporativos. Son programas que
provocan algn dao intencional en los sistemas
informticos.
Al respecto, un ejemplo prctico, se da al mencionar genricamente como virus a
cualquier programa daino cuando tcnicamente no lo es y en realidad, la palabra
adecuada para llamarlos es malware, o segn su traduccin, cdigo malicioso.
La mayora de estas amenazas informticas se encuentran representadas por
troyanos, spyware/adware y gusanos.
Los virus informticos se caracterizan por su capacidad de infectar a otros
programas, por lo general, inyectando su propio cdigo malicioso dentro del cdigo
original del programa husped.
CDIGOS
MALICIOSOS
A diferencia de los virus, los spyware/adware son programas
cuyo objetivo radica principalmente en el intento de recolectar
informacin de los usuarios acerca de sus hbitos de
navegacin, generalmente sin el consentimiento de los
usuarios.
Los gusanos informticos, los spyware/adware y los troyanos
son mucho ms difundidos que el virus propiamente dichos.
Los troyanos fundan sus caractersticas principalmente en el
engao: aparentando ser un programa benigno, til e inofensivo
cuando en realidad no lo son u ocultndose en otros programas
tiles.
CDIGOS
MALICIOSOS
CDIGOS
MALICIOSOS
El Malware actual suele
contener componentes que
muchas veces dificultan su identificacin en cuanto a la
categora que representan, ya que un solo cdigo
malicioso suele tener las caractersticas propias de
varios de ellos.
CDIGOS
MALICIOSOS
incluye un esquema con la relacin
A continuacin, se
existente entre los diferentes elementos que intervienen en el
anlisis de riesgos.
Sobre
Activos
Amenazas
Implican
Aumentan
Vulnerabilid
ades
Amenazas
Explotar
Reducen
Cortamedi
das
Pueden Reduci
con
METODOLOGAS DE ANLISIS
DE RIESGO
CUALITATIVOS
Es el mtodo de anlisis de riesgo ms utilizado en la toma de
decisiones en proyectos empresariales, los emprendedores se
apoyan en su juicio, experiencia e intuicin para la toma de
decisiones:
Se pueden utilizar cuando el nivel de riesgo sea bajo y no justifica el
tiempo y los recursos necesarios para hacer un anlisis completo.
O bien porque los datos numricos son inadecuados para un anlisis
ms cuantitativo que sirva de base para un anlisis posterior ms
detallado del riesgo global del emprendedor.
METODOLOGAS DE ANLISIS
DE RIESGO
Los mtodos cualitativos incluyen:
Brainstorming.
Cuestionario de entrevistas estructuradas.
Evaluacin para grupos multidisciplinarios.
Jucio de especialistas y expertos (Tcnica
Delphi).
METODOLOGAS DE ANLISIS
DE RIESGO
SEMI -CUALITATIVOS
Se utilizan clasificaciones de palabra como alto, medio o bajo, o
descripciones ms detalladas de la probabilidad y la
consecuencia.
Estas clasificaciones se demuestras en relacin con una escala
apropiada para calcular el nivel de riesgo. Se debe poner atencin
en la escala utilizada a fin de evitar malos entendidos o malas
interpretaciones de los resultados del clculo.
METODOLOGAS DE ANLISIS
DE RIESGO
CUANTITATIVOS
Se consideran mtodos cuantitativos a aquellos que
permiten asignar valores de ocurrencia a los diferentes
riesgos identificados, es decir, calcular el nivel de riesgo
del proyecto.
Los mtodos cuantitativos incluyen:
- Anlisis de probabilidad.
- Anlisis de consecuencias.
- Simulacin computacional.
IDENTIFICACIN DE
ACTIVOS
Se definen como los recursos de una compaa que son
necesarios para la consecucin de sus objetivos de
negocio. Ejemplo:
Informacin.
Equipamiento.
Conocimiento.
Sistemas.
IDENTIFICACIN DE
ACTIVOS
Pueden ser cuantificados con un valor econmico
(activos tangibles) como el software y hardware y con
valores monetarios (activos intangibles) tales como el
prestigio o la confianza de los clientes.
El proceso de elaborar un inventario de activos es
uno de los aspectos fundamentales de un correcto
anlisis de riesgos.
IDENTIFICACIN DE
AMENAZAS
Se define como un evento que puede desencadenar un incidente en la
organizacin, produciendo daos materiales o prdidas inmateriales en sus
servicios.
Clasificacin General de
Amenazas
IDENTIFICACIN DE
AMENAZAS
Dependiendo de la organizacin y el proceso analizado, las amenazas
tendrn una probabilidad de ocurrencia que depender de la existencia de
una vulnerabilidad que pueda ser explotada, para materializarse en un
incidente.
Por ejemplo, una amenaza del tipo de desastre natural como es un terremoto, tendr una mayor
probabilidad de ocurrencia en una empresa con oficinas en Japn, donde los terremotos ocurren
con mayor frecuencia, que en Espaa.
Resulta ms complicado valorar amenazas humanas (ataques maliciosos, robos de informacin,
etc.) que las amenazas naturales. En el componente humano existen dos factores:
IDENTIFICACIN DE
AMENAZAS
Para identificar las vulnerabilidades que pueden
afectar a una compaa, debemos responder a la
pregunta Cmo puede ocurrir una amenaza?
Para responder a esta pregunta ponemos como
objetivo la amenaza y definimos las distintas
situaciones por las que puede ocurrir la misma,
evaluando si dentro de la compaa puede darse esa
circunstancia; es decir, si el nivel de proteccin es
suficiente para evitar que se materialice la amenaza.
IDENTIFICACIN DE
AMENAZAS
Por ejemplo, si nuestra Amenaza es que nos roben datos estratgicos de la
compaa podemos establecer, como otros, los siguientes escenarios:
Escenarios
Nivel de Proteccin
OPTIMIZACIN DEL
PROCESO DE
AUDITORA
QU HACER
Contar con la funcin del auditor interno.
Capacitar a todos los empleados de la compaa respecto a las
caractersticas del negocio, y las actividades operativas de la
empresa.
Involucrar a la alta gerencia (directores/dueos) en el negocio y
la administracin. Esto permite al auditor recibir de manera directa,
la visin y valores de los accionistas.
Armar presupuestos econmicos por reas, para que sea
finalmente el CFO quin compile los presupuestos finales.
OPTIMIZACIN DEL
PROCESO DE
AUDITORA
QU NO HACER
Evitar la excesiva confianza en personas con roles clave.
Segregar las funciones importantes y aplicar un control por
oposicin.
No contar con un sistema operativo integrado: Dificulta el
proceso de auditora y genera riesgos de errores o fraudes. En
muchos casos las empresas contienen distintos aplicativos que
requieren diversas interfaces para finalmente procesar toda la
informacin contable.
Desconocer el rol y las responsabilidades del auditor atentan
contra la emisin de informacin auditada oportuna y de calidad.
CONTROLES
PREVENTIVOS
Identifican potenciales problemas antes de que ocurran.
Previenen errores, omisiones o actos maliciosos.
Ejemplos:
- Realizar copias de seguridad de los archivos.
- Contratar seguros para los activos.
- Establecer procedimientos/ polticas de seguridad.
- Establecer control de acceso a la informacin.
- Establecer control de acceso fsico.
CONTROLES
DETECTIVOS
Identifican y reportan la ocurrencia de un error, omisin o acto
malicioso ocurrido.
Ejemplos:
- Monitorizacin de eventos.
- Auditoras Internas
- Revisiones peridicas de procesos.
- Sensores de humo.
- Deteccin de virus.
CONTROLES
CORRECTIVOS
Minimizan el impacto de una amenaza.
Solucionan errores detectados por controles detectivos.
Identifican la causa de los problemas con el objeto de corregir
errores producidos.
Modifican los procedimientos para minimizar futuras ocurrencias
del problema.
Ejemplos:
- Parches de Seguridad.
- Correccin de daos por virus.
- Recuperacin de datos perdidos.
CRITERIOS DE
EVALUACIN DE
RIESGOS
riesgo aceptable
se toma como base de
HERRAMIENTAS DE ANLISIS DE
RED
NMAP
De Network Mapper, es una utilidad de software libre para
explorar. Administrar y auditar la seguridad de redes de
ordenadores. Detecta host online, sus puertos abiertos,
servicios y aplicaciones corriendo con ellos, su sistema
operativo, que firewalls/filtros corren en una red y de qu tipo
son.
NETCAT
NetCat, la navaja suiza de los hackers y administradores.
NBTSCAN
Es un explorador conocido de la red de NetBIOS. Es un programa para
explorar las redes del IP para la informacin conocida de NetBIOS.
HERRAMIENTAS DE
VULNERABILIDAD
Nessus es un escner de vulnerabilidades que funciona
mediante un proceso de alta velocidad por el que
encuentra los datos sensibles y trabaja con la auditora de
configuraciones y el perfil activo.
Este programa es de gran utilidad para los dispositivos de uso
personal pero tambin para las grandes empresas que se manejan
con equipos conectados en red, pues trabaja mediante uso de DMZ.
No podemos olvidar de diferenciar las auditoras de seguridad que Nessus
es capaz de soportar. En primer lugar, tenemos que hablar de puerto de
credenciales que estn basadas tanto en sistemas operativos de Windows
como la gran parte de las Plataformas Unix.
ANALIZADORES DE PROTOCOLOS
Dsniff nos demuestra lo inseguiras que son nuestras
redes, sobre todo si nos empeamos en enviar
contraseas en formato texto plano. Con este sniffer, nos
daremos cuenta de lo realmente importante que puede
llegar a ser la utilizacin de la encriptacin en nuestras
comunicaciones diarias.
Para hacernos una idea de las posibilidades del dsniff, conctese
directamente a internet como lo hace habitualmente, en otra sesin
como root escribir: #dsniff i ppp0 .
Entrar ahora usando ssh y visualice cmo en este caso nuestro sniffer no
captura la contrasea.
ANALIZADORES DE PROTOCOLOS
Cain & Abel Permite recuperar contraseas de una
amplia variedad de protocolos, entre ellos FTP, SMT, POP3,
HTTP, MySQL, ICQ, Telnet y otros, adems de poder
recuperar tambin las claves ocultas en Windows bajo la
tpica lnea de asteriscos.
Paros Proxy
es una
aplicacin que funciona
como un Proxy y que
permite
capturar
las
peticiones tanto en HTTP
como
HTTPS
para
simplemente registrarlas a
modo de debug o para
poder modificarlas.
ATAQUES
En criptografa, se denomina ataque de fuerza bruta a la
forma de recuperar una clave probando todas las
combinaciones posibles hasta encontrar aquella que
permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del
conocimiento del algoritmo de cifrado empleado y de un par texto
claro/texto cifrado, se realiza el cifrado.
Software de Fuerza Bruta (Brutus force)
Brutus es uno de los ms rpidos, ms flexibles password crackers remoto
que puede obtener libremente. Est disponible para Windows 9x, NT y
2000 X versin disponible, aunque se trata de una posibilidad en algn
momento en el futuro. Brutus se hizo por primera vez a disposicin del
pblico en octubre de 1998 y desde entonces se han producido al menos
70.000 descargas y ms de 175.000 visitantes a esta pgina.
ATAQUES
John The Ripper
Es un programa de criptografa que aplica fuerza bruta para
desifrar contraseas. Es capaz de romper varios algoritmos
de cifrado o hash como DES, SHA -1, y otros.
Es una herramienta de seguridad muy popular, ya que permite a los
administradores de sistemas comprobar que las contraseas de los
usuarios son suficientemente buenas.
PRINCIPIOS GENERALES DE
CORTAFUEGOS
Un cortafuegos o firewall es un sistema que previene el uso y el
acceso desautorizados al ordenador.
Los cortafuegos pueden ser software, hardware, o una combinacin de ambos. Se
utilizan con frecuencia para evitar que los usuarios desautorizados de internet tengan
acceso a las redes privadas conectadas con internet, especialmente intranets.
Todos los mensajes que entran o salen de la intranet pasan a travs del cortafuegos,
que examina cada mensaje y bloquea los que no cumplen los criterios de seguridad
especficos.
Es importante recordar que un cortafuegos no elimina problemas de virus del
computador, si no que cuando se utiliza conjuntamente con actualizaciones regulares
del sistema operativo y un buen software antivirus, aadir cierta seguridad y
proteccin adicionales para el computador o red.
PRINCIPIOS GENERALES DE
CORTAFUEGOS
Los cortafuegos de hardware proporcionan una fuerte proteccin
contra la mayora de las formas de ataque que vienen en el mundo
exterior y se pueden comprar como producto independiente o en routers
de banda ancha. un sistema que previene el uso y el acceso
desautorizados al ordenador.
Para usuarios particulares el corta fuego ms usado es el cortafuegos de software.
Un buen cortafuegos de software proteger el computador contra intentos de controlar
o acceder a l desde el exterior y generalmente proporciona proteccin adicional
contra los troyanos o gusanos de e-mail ms comunes.
La desventaja de los cortafuegos de software es que protegen
computador en el que estn instalados y no protegen una red.
solamente al
PRINCIPIOS GENERALES DE
CORTAFUEGOS
TIPOS DE TCNICAS DE CORTAFUEGOS
Packet Filter: Mira cada paquete que entra o sale de la red y lo acepta o
rechaza basndose en reglas definidas por el usuario. La filtracin del paquete
es bastante eficaz y transparente a los usuarios, pero es difcil de configurar.
Adems, es susceptible al IP spoofing.
Aplicacin Gateway: Aplica mecanismos de seguridad a ciertas aplicaciones,
tales como servidores web ftp y servidores telnet. Esto es muy eficaz, pero
puede producir una disminucin de las prestaciones.
Circuit-level Gateway: Aplica mecanismos de seguridad cuando se establece
una conexin TCP o UDP. Una vez que se haya hecho la conexin, los
paquetes pueden fluir entre los anfitriones sin ms comprobaciones.
Proxy Server: Intercepta todos los mensajes que entran y salen de la red. El
servidor proxy oculta con eficacia las direcciones de red verdaderas.
PRINCIPIOS GENERALES DE
CORTAFUEGOS
COMPONENTES DE UN CORTAFUEGOS
Packet Filter: El filtrado de paquetes se
puede utilizar para implementar
diferentes polticas de seguridad en la
red; el objetivo principal de todas ellas
suele ser evitar el acceso no autorizado
entre dos redes, pero manteniendo
intactos los accesos autorizados.
.