UNIVERSIDAD CENTRAL DEL ECUADOR FACULTAD DE INGENIERÍA, CIENCIAS FÍSICAS Y MATEMÁTICA

Transcripción

1 UNIVERIDAD CENTRA DE ECUADOR ACUTAD DE INGENIERÍA, CIENCIA ÍICA Y MATEMÁTICA CARRERA DE INGENIERÍA INORMÁTICA PROCEDIMIENTO DE AUDITORIA PARA DIPOITIVO DE DEENA DE REDE AN TRABAJO DE GRADUACIÓN PREVIO A A OBTENCIÓN DE TÍTUO DE INGENIERO INORMÁTICO AUTOR: Juan Pablo Yépez Herdoiza TUTOR: Ing. Jairo Rene Navarro Bustos Quito Ecuador 2014

2 DEDICATORIA A Dios, por permitirme llegar a este momento tan especial en mi vida. Por los triunfos y momentos difíciles que me han enseñado a valorarlo cada día más. A mi abuelita Mamines que en paz descanse, gracias a ella me he convertido en la persona que soy ahora, me enseño que la vida no es fácil hay que luchar, solo se lo logra con mucha perseverancia y resistencia. A mi madre, que me formo de buenos sentimientos, hábitos y valores, lo cual me ha ayudado a salir adelante en los momentos más difíciles. De igual forma, a mi padre me enseño los principios, mi carácter, mi empeño, mi perseverancia, mi coraje para conseguir mis objetivos. A Ana lucia, María ernanda que estuvieron siempre presentes y a mis sobrinos Ethan y iam quienes ha sido una motivación, inspiración y felicidad. A Gaby, quien me supo dar fuerzas en mis momentos de flaqueza, para no rendirme dándome amor y comprensión. A mis mejores amigos quienes me brindaron su apoyo incondicional y sincero. JUAN PABO II

3 AGRADECIMIENTO Me gustaría expresar mi más profundo y sincero agradecimiento a las personas que con su ayuda han colaborado en la realización del presente trabajo, al Ing. Jairo Navarro y mis revisores Ing. Rene Carrillo e Ing. Aldrin lores, por la orientación, el seguimiento y la supervisión continua de la misma pero sobre todo por la motivación y el apoyo recibido por estos meses. A todos y cada uno de los señores profesores de la acultad de Ingeniería Ciencias ísicas y Matemáticas, que con sus enseñanzas, su dedicación y su tiempo, hicieron enriquecer mis conocimientos. De igual forma, a la Universidad Central del Ecuador por a verme acogido en sus aulas para formarme profesionalmente y como persona, para servir a la patria. JUAN PABO III

4 AUTORIZACIÓN DE A AUTORÍA INTEECTUA IV

5 CERTIICACIÓN V

6 APROBACION DE TEI VI

7 REUTADO DE TRABAJO DE GRADO (Calificación) VII

8 VIII

9 CONTENIDO DEDICATORIA... II AGRADECIMIENTO... III AUTORIZACIÓN DE A AUTORÍA INTEECTUA... IV CERTIICACIÓN... V APROBACION DE TEI... VI REUTADO DE TRABAJO DE GRADO... VII CONTENIDO... IX ITA DE IMÁGENE... XII ITA DE TABA... XIII REUMEN... XV ABTRACT... XVI CERTIICADO DE TRADUCCIÓN... XVII TÍTUO DE TRADUCTOR... XVIII CAPÍTUO PREENTACIÓN DE PROBEMA Planteamiento del Problema ormulación del Problema Interrogantes de la Investigación Objetivos de la Investigación Objetivo General Objetivos Específicos Justificación... 2 CAPÍTUO REVIIÓN BIBIOGRAICA Antecedentes... 4 IX

10 2.2 undamentación Teórica Definición de Auditoría Normas, Técnicas, Estándares y Procedimientos de Auditoria Metodología COBIT Metodología ITI Norma IO eguridades en irewall CAPÍTUO PROCEDIMIENTO DE AUDITORIA Marco de trabajo de COBIT Requerimientos de Negocio Recursos de IT Descripción de procesos de COBIT Priorización de procesos de COBIT Comparación entre COBIT 4.1 y COBIT Relación entre COBIT 4.1 y ITI Relación entre COBIT 4.1 y IO Alineamiento COBIT 4.1, COBIT 5.0, ITI y IO CAPÍTUO GUIA DE O PROCEO Gestionar el Riesgo Gestionar la Identificación y la Construcción de oluciones Gestionar los Cambios Gestionar la Continuidad Gestionar los ervicios de eguridad Gestionar la Configuración Gestionar los Problemas CAPÍTUO DETAE DE CONTRO...61 CAPÍTUO X

11 6. NIVE DE MADUREZ Evaluación del proceso de Gestionar el Riesgo Evaluación del proceso de Gestionar la Identificación y la Construcción de oluciones Evaluación del proceso de Gestionar los Cambios Evaluación del proceso de Gestionar la Continuidad Evaluación del proceso de Gestionar los ervicios de eguridad Evaluación del proceso de Gestionar la Configuración Evaluación del proceso de Gestionar los Problemas CAPÍTUO CONCUIONE Y RECOMENDACIONE Conclusiones Recomendaciones BIBIOGRAÍA ANEXO Anexo A - GORARIO Anexo B Anexo C XI

12 ITA DE IMÁGENE igura 2.1 Cubo de Cobit... 8 igura 2.2 Marco de Trabajo de Cobit... 9 igura 2.3 Áreas Clave de Gobierno y Gestión igura 2.4 Modelo de Referencia de Procesos de COBIT igura 2.5 Áreas a las que se dirige ITI igura 2.6 Contenido de las cinco etapas del ciclo de vida de los servicios en ITI v igura 2.7 Pirámide de Dominio XII

13 ITA DE TABA Tabla 3.1 (Procesos Escogidos) Tabla 3.2 (Procesos Priorizados) Tabla 3.3 (Comparación Cobit 4.1 y 5) Tabla 3.4 (Procesos ITI utilizados) Tabla 3.5 (Comparación Cobit 4.1 e ITI) Tabla 3.6 (Procesos IO utilizados) Tabla 3.7 (Comparación Cobit 4.1 e IO) Tabla 3.8 (Alineamiento entre procesos) Tabla 4.1 (Guía Gestionar el Riesgo) Tabla 4.2 (Guía Gestionar oluciones) Tabla 4.3 (Gestionar los Cambios) Tabla 4.4 (Gestionar la Continuidad) Tabla 4.5 (Gestionar los ervicios de eguridad) Tabla 4.6 (Gestionar la Configuración) Tabla 4.7 (Gestionar los Problemas) Tabla 5.1 (Evaluación de Gestionar el Riesgo) Tabla 5.2 (Evaluación de Gestionar oluciones) Tabla 5.3 (Evaluación de Gestionar los Cambios) Tabla 5.4 (Evaluación de Gestionar la Continuidad) Tabla 5.5 (Evaluación de Gestionar los ervicios de eguridad) Tabla 5.6 (Evaluación de Gestionar la Configuración) Tabla 5.7 (Evaluación de Gestionar los Problemas) Tabla 6.1 (Autoevaluación del Riesgo) Tabla 6.2 (Practicas Básicas del Riesgo) Tabla 6.3 (Atributos del Riesgo) Tabla 6.4 (Autoevaluación de las oluciones) Tabla 6.5 (Practicas Básicas de las oluciones) Tabla 6.6 (Atributos de las oluciones) XIII

14 Tabla 6.7(Autoevaluación de los Cambios) Tabla 6.8 (Practicas Básicas de los Cambios) Tabla 6.9 (Atributos de los Cambios) Tabla 6.10 (Autoevaluación de la Continuidad) Tabla 6.11 (Practicas Básicas de la Continuidad) Tabla 6.12 (Atributos de la Continuidad) Tabla 6.13 (Autoevaluación de los ervicios de eguridad) Tabla 6.14 (Practicas Básicas de los ervicios de eguridad) Tabla 6.15 (Atributos de los ervicios de eguridad) Tabla 6.16 (Autoevaluación de la Configuración) Tabla 6.17 (Practicas Básicas de la Configuración) Tabla 6.18 (Atributo de la Configuración) Tabla 6.19 (Autoevaluación de los Problemas) Tabla 6.20 (Practicas Básicas de los problemas) Tabla 6.21 (Atributos de los problemas) XIV

15 REUMEN PROCEDIMIENTO DE AUDITORIA PARA DIPOITIVO DE DEENA DE REDE AN En el presente trabajo se trata de informar y orientar al lector en todo lo que corresponda en alinear a las buenas prácticas en los marcos de referencia de las normas internacionales tales como: Cobit, ITI e IO En el primer capítulo hablamos del planteamiento de algunos casos de los problemas más frecuentes que surgieron con la carencia de normas y políticas, así también de los objetivos tanto generales como específicos que se tuvieron presentes en la elaboración de este proyecto. En el segundo capítulo se profundizo más en el tema dando a conocer las terminologías y sustentando cada una de las partes que conforman esta tesis en las buenas practicas. En el tercer capítulo se enfatiza en los requerimientos de negocio y de los recursos, para enfocarse en los procesos idóneos para este tema, y así poder realizar las comparaciones y alineamientos de cada uno de los procesos de las normas expuestas. En el cuarto y quinto capítulo, de acuerdo con los procesos escogidos, se realiza las guías en base a las entradas, salidas y diagramas de flujo que nos exponen las metodologías tomadas encuentra en esta tema de investigación y luego con sustento de estas guías realizar las preguntas de control. Por tanto en el último capítulo se realiza el modelo de evaluación de procesos basado en los niveles de madurez para determinar el cumplimiento de las guías dentro de la organización. DECRIPTORE: AUDITORIA DE A REDE AN / COBIT / ITI / IO / EGURIDADE DE O DIPOITIVO DE DEENA / NIVEE DE MADUREZ XV

16 ABTRACT AUDIT PROCEDURE OR DEENE NETWORK DEVICE AN The aim of present work is to inform and guide the reader into how align with good practice frameworks of international standards such as COBIT, ITI and IO In the first chapter we talk about the approach of some cases of the most common problems encountered with the lack of standards and policies, and also of both general and specific objectives that were taken into account in the development of this project. The second chapter deepened more on the subject by publicizing the terminologies and supporting each of the parts that make up this thesis in good practices. The third chapter emphasizes business requirements and resources, and later focuses on the appropriate processes to this topic, so you can make comparisons and alignments of each of the processes to the standards set. In the fourth and fifth chapter, according to the chosen processes, guidelines were made based on the inputs, outputs and flow charts that expose the methods taken in this research topic and then based on these guidelines, make the control questions. o, in the last chapter the evaluation model is carried out based on maturity levels to determine compliance with the guidelines in the organization. WORD: AUDIT NETWORK AN / COBIT / ITI / IO / AURANCE O DEENE DEVICE / MATURITY EVE XVI

17 CERTIICADO DE TRADUCCIÓN XVII

18 TÍTUO DE TRADUCTOR XVIII

19 CAPÍTUO 1 1. PREENTACIÓN DE PROBEMA 1.1 Planteamiento del Problema. En la actualidad muchas organizaciones se encuentran vulnerables a los ataques informáticos, la idea es mantener una red segura, o fiable, consiste básicamente en garantizar cuatro aspectos: confidencialidad, integridad, disponibilidad y no repudio. a confidencialidad, requiere que la información sea accesible únicamente por aquellos que estén autorizados. a integridad, que la información se mantenga inalterada ante accidentes o intentos maliciosos. a disponibilidad significa que los dispositivos de defensa de la red se mantenga trabajando sin sufrir ninguna degradación en cuanto a accesos y ofrezca los recursos que requieran los usuarios autorizados cuando éstos los necesiten. Por último, el no repudio garantiza al emisor que la información fue entregada y ofrece una prueba al receptor del origen de la información recibida. 1.2 ormulación del Problema. Cuáles serían sus ventajas al realizar los procedimientos de auditoría de los dispositivos de defensa en una red? 1.3 Interrogantes de la Investigación. e han planteado las siguientes interrogantes de acuerdo a las amenazas que se dan en la actualidad: Porqué es importante tener procedimientos de auditoría en los dispositivos de defensa de la red? Es necesario tener un plan contingencia ante las posibles eventualidades? os dispositivos de protección de la red cumplen con los procedimientos de auditoría? Es beneficioso realizar una planificación a los sistemas de defensa procedimientos? 1

20 1.4 Objetivos de la Investigación Objetivo General. Crear los procedimientos de auditoria de los dispositivos de defensa cumpliendo con los estándares internacionales como son ITI 1, COBIT 2, IO 3, para lo cual se debe apoyar en un estudio cuidadoso de los riesgos potenciales de la seguridad de la red que tiene la organización Objetivos Específicos. Comprobar que los procedimientos se encuentren integrados a la confidencialidad, disponibilidad e integridad en los dispositivos de defensa. Elaborar un procedimiento al realizar cambios y así lograr minimizar el impacto de los riesgos potenciales en las redes ANs. Realizar recomendaciones de los procedimientos de auditoria de todas las falencias de configuraciones, incidencias y riesgos, para que no se vuelvan a repetir. 1.5 Justificación Actualmente, el aumento del conocimiento sobre el funcionamiento de los sistemas, conlleva una mayor preparación de los intrusos y un mayor acceso a herramientas con las que determinar las debilidades de los sistemas y explotarlas para obtener los privilegios necesarios para realizar cualquier acción dañina. A todo esto hay que sumar los problemas de configuración, y la falta de recursos para instalar los parches de seguridad necesarios. En definitiva, se hace patente la necesidad de concienciar y enseñar en torno a la seguridad informática. También hay que tener en cuenta la dificultad que conlleva la creación de software, ya que éste es cada vez más complejo y el ciclo de vida del software se está reduciendo significativamente debido al aumento de la competitividad del mercado. Este hecho acarrea la consecuencia de realizar diseños pobres, traduciéndose en errores en el software. 1 Biblioteca de Infraestructura de Tecnologías de Información 2 Objetivos de Control para Información y Tecnologías Relacionadas 3 Organización Internacional de Normalización 2

21 En este marco nos encontramos con el uso de procedimientos de seguridad, como las técnicas de encriptación y los cortafuegos (firewalls). i bien estos elementos aunque proveen una primera línea de defensa para asegurar los recursos de la red, deben ser complementados con herramientas que permitan monitorizar el comportamiento del tráfico y las actividades de los usuarios de la red. En esta línea, surgen los sistemas de detección de intrusos, como uno de los campos más investigados en los últimos años. 3

22 CAPÍTUO 2 2. REVIIÓN BIBIOGRAICA 2.1 Antecedentes Por sondeos realizados algunas empresas, no se han realizado un proyecto de investigación sobre los procedimientos de auditoria para dispositivos de defensa de red, y que cuenten con una Infraestructura Tecnológica moderna TIC 4, en donde se encuentran instaladas diferentes aplicaciones informáticas; y para su acceso o interacción, necesitamos de equipos y periféricos tangibles. Muchas de las actividades administrativas son apoyadas en gran medida por las TIC, tecnologías que exigen recursos y medios de comunicación entre ellos tenemos: Computadoras personales, impresoras, scanner, cámaras digitales, equipos de audio, teléfonos IP, etc. 2.2 undamentación Teórica A continuación se definirá una serie de términos importantes para la correcta comprensión del proyecto Definición de Auditoría A través de la norma IO 19011:2002 indicó la definición de auditoría es un proceso metódico, autónoma y documentado para obtener evidencias de la auditoría y valorarlas de manera puntual con la finalidad de establecer la extensión en que se desempeñan los criterios de auditoría. Paulk et al. (1993) indicaron que Auditoría es una evaluación independiente de un resultado o conjunto de resultados, para determinar la conformidad con las especificaciones, estándares, acuerdos contractuales, u otro criterio. Piattini & Del Peso (1998) explicaron lo siguiente: Conceptualmente la auditoría, toda y cualquier auditoría, es la acción que consistente en el pronunciamiento de una opinión de un experto sobre si el objeto sometido a análisis 4 Tecnologías de la Información y la Comunicación 4

23 muestra adecuadamente la realidad que pretende plasmar y cumple con las medios que le han sido prescritas. egún la NTP-IO/IEC :2006 (INDECOPI 6, 2006), el proceso de Auditoria sirve para establecer el desempeño con los requerimientos, métodos y el contrato, según se lo quiera aplicar. e determina además que este proceso puede ser utilizado por cualquiera de las partes, donde una de ellas en este caso la auditoria, audita los productos software o acciones de la otra parte seria la auditada. egún IACA 7 (2008), la auditoría de los sistemas de información se especifica como cualquier auditoría que incluye la revisión y evaluación de todos los aspectos (o de cualquier parte de ellos) de los sistemas automáticos de procesamiento de la información Normas, Técnicas, Estándares y Procedimientos de Auditoria Tipos de Auditorías de Redes Existen diversos tipos de auditorías de redes determinados principalmente a la personalización adquirida y al nivel de escalabilidad. De forma recopilada, se puede describir de los tres tipos de auditorías de redes, que pueden ser concluidas como referencia las auditorías ad-hoc. a. Auditoría de Rendimiento de Redes e basa fundamentalmente en proporcionar datos del rendimiento, siendo el beneficio de la misma en la obtención de recomendaciones, en la generación de informes que apoyen a determinar las mejoras que obliga la red para garantizar las obligaciones de los usuarios en los aplicativos, tanto en el presente como a futuro. b. Auditoría de la Arquitectura de Redes e basa fundamentalmente, en la elaboración de un mapa básico de la topología de red, como referencia en el diseño del entorno de red en su totalidad. Mientras tanto, el beneficio de estas auditorías es la obtención de recomendaciones para las áreas vulnerables de cambio y/o modernización de la organización, evitando el fallo y puntos críticos en la red auditada. 5 Comisión Electrotécnica Internacional 6 Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual 7 Asociación de Auditoria y Control de istemas de Información 5

24 c. Auditoría de la Disponibilidad de Redes e basa fundamentalmente en el conocimiento amplio de los requerimientos para lograr y conservar la disponibilidad y fiabilidad de la red que la organización precisa. El proceso de esta auditoría se fundamenta en un conjunto de audiencias a los miembros clave de la plantilla de la empresa u organización en sus propias dependencias, que tratan sobre los siguientes aspectos: Administrar cambios: incorporaciones y cambio; algunas previas comprobaciones previas en la red antes de realizar modificaciones a la red y procedimientos de actualización de software. Entorno físico: consideraciones ambientales, seguridad física, estrategia de cableado estructurado y rotulado, accesos a los emplazamientos a mantenedores y suministradores. Estructura de la organización: funciones, dependencias y responsabilidades, personal facultado para gestionar la red, necesidades de capacitación y conocimientos específicos, eguridad: métodos y políticas para la autentificación de intranet y extranet, revisión de reglas en firewalls, acceso remoto. Relaciones con el proveedor: contratos de soporte, comunicaciones y tipos de soporte. Administrar fallos e incidencias: precaución y estrategias de aislamiento de fallos en la red, procedimientos de seguimiento y análisis, procedimientos de control de incidencias en el servicio, escalado técnico, escalado gerencial. Planificación de servicios: acuerdos de servicios A 8 y administración de niveles, objetivos de alta disponibilidad, aplicaciones y sistemas críticos de la red. Planificación de contingencias: evaluación, planificación, pruebas de viabilidad y ejecución. Técnicas de Auditoría de Redes 8 ervice evel Agreement 6

25 Cuestionarios Entrevistas Encuestas evantamiento de inventario istas de chequeo og s Matriz ODA 9 Modelos de simulación Técnicas de muestreo Técnicas de observación Técnicas de revisión documental Trazas o Huellas Metodología COBIT COBIT es una metodología informada en 1996 por IACA y el Instituto de Control de TI, que se utiliza para evaluar el departamento de TI de una organización. e encuentra orientada por un índice de referencia de procesos, KGI 10 y KPI 11 que se usan para evaluar los procesos para acumular datos que la compañía puede alcanzar sus objetivos. a guía de COBIT presenta 34 procesos organizados en 4 áreas funcionales donde contienen los 318 objetos (igura 2.2): Entrega y oporte Monitorear y Evaluar Planificar y Organizar Adquirir e Implementar 9 ortalezas, Oportunidades, Debilidades y Amenazas 10 indicadores de objetivos clave 11 indicadores de rendimiento clave 7

26 igura 2.1 Cubo de Cobit (uente: Cobit 4.1 IACA) Criterios de Información Para cumplir las necesidades de los objetivos del negocio, la información requiere acoplarse a ciertos criterios de control, los cuales son descritos en COBIT como requerimientos de información del negocio. En base a estos requerimientos, en lo que tiene que ver en la calidad y seguridad, se detallaron los siguientes siete criterios de información (igura 2.1): Efectividad tiene que ver con que la información sea relevante y oportuna a los procesos del negocio, y se proporcione de una manera pertinente, correcta y utilizable. 12 Eficiencia se refiere a la información sea generada con el óptimo en el uso de los recursos. 13 Confidencialidad se refiere a salvaguardar de información vulnerable contra manifestación no autorizada. 14 Integridad está involucrada con la completitud y precisión de la información, así como su validez de acuerdo a las expectativas del negocio y valores IACA Cobit 4.1 IT overnance Institute, Pag,: IACA Cobit 4.1 IT overnance Institute, Pag,: IACA Cobit 4.1 IT overnance Institute, Pag,: IACA Cobit 4.1 IT overnance Institute, Pag.: 11 8

27 Disponibilidad se describe a que la información esté disponible cuando sea solicitada por los procesos del negocio en cualquier momento. También a la protección de los recursos y las capacidades necesarias asociadas. 16 Cumplimiento tiene que ver con las leyes, reglamentos y acuerdos establecidos, a los cuales está ligado el proceso de negocios, es decir, criterios de negocios asignados externamente, así como políticas internas. 17 Confiabilidad se describe a suministrar la información adecuada para que la gerencia administre la organización y realice sus responsabilidades con prudencia y diligencia. 18 igura 2.2 Marco de Trabajo de Cobit (uente: Cobit 4.1 IACA) 16 IACA Cobit 4.1 IT overnance Institute, Pag.: IACA Cobit 4.1 IT overnance Institute, Pag.: IACA Cobit 4.1 IT overnance Institute, Pag.: 11 9

28 Cobit 5 El COBIT 5 es sucesor del modelo de proceso de COBIT 4.1. Una de las directivas en COBIT es la distinción hecha entre gobierno y gestión, se espera que todas las empresas implementen varios procesos de gobierno y varios procesos de gestión para proporcionar un gobierno y una gestión del entorno IT profundos. Al considerar los procesos para gobierno y gestión en el contexto de la empresa, los tipos de procesos se diferencian por los objetivos: Procesos de Gobierno - os procesos de gobierno tratan de los objetivos de gobierno de las partes involucradas como: entrega de valor, optimización del riesgo y de recursos e incluye prácticas y actividades orientadas a valorar las opciones estratégicas, aportando a la dirección de TI y controlando la salida (Evaluar, orientar y supervisar). Procesos de Gestión - Relacionados con la definición de gestión las prácticas y actividades de los procesos de gestión cubren las áreas de responsabilidad de PCEM 19 de TI de la empresa y tienen que proporcionar cobertura de TI extremo a extremo. Aunque las salidas de ambos tipos de procesos son diferentes y está destinada a distinta audiencia, internamente, en el contexto del proceso, todos los procesos requieren actividades de planificación, construcción o implementación, ejecución y supervisión del proceso. as empresas efectúan un gobierno y una gestión de los procesos, de tal forma que las áreas clave se las tome en cuenta, en otros términos una empresa puede ordenar sus procesos como estime ventajosamente. En lo que tiene que ver a empresas pequeñas a lo mejor solo cumplan pocos procesos, caso contrario en las empresas más grandes y 19 Procesos de Gestión: Planifica, Construye, Ejecuta y Monitorea 10

29 complejas posiblemente tengan más procesos, al fin y al cabo todos van a cubrir los mismos objetivos. igura 2.3 Áreas Clave de Gobierno y Gestión (uente: Cobit 5 IACA) En COBIT 5 el modelo de referencia de procesos, los procesos de gobierno y de gestión de TI de una organización se subdivide, en dos principales áreas de actividad, gobierno y gestión divididos en dominios de procesos: Gobierno: Este nuevo dominio incluye cinco procesos de gobierno; en cada uno de los proceso, se han definido las prácticas EDM 20. Gestión: En estos cuatro dominios están ligados con las áreas de responsabilidad de PBRM (una evolución de los dominios COBIT 4.1), que proveen de cobertura de TI extremo a extremo. Cada dominio contiene varios procesos, como en COBIT 4.1 y en sus versiones anteriores. igura 2.4 muestra el conjunto completo de los 37 procesos de gobierno y gestión. 20 Dominio de Proceso: Evaluar, Dirigir y Monitorear 11

30 igura 2.4 Modelo de Referencia de Procesos de COBIT 5 (uente: Cobit 5 IACA) Metodología ITI Por varios años, las organizaciones han realizado inversiones muy importantes en su infraestructura y descubierto de oportunidades de negocio en la utilización de IT, por tal motivo, estas inversiones les permita lograr varios de los objetivos como: mejorar el proceso de toma de decisiones y el control de la gestión, disminuir costos, ganar ventaja competitiva, modificar y rediseñar procesos, optimizar la calidad, proporcionar procesos administrativos y brinden funcionalidad en sus productos y el servicio al cliente. Desde el enfoque del negocio, el plan de la gestión de la infraestructura de IT es mejorar la aportación y ayuda de esta infraestructura, para obtener sus metas de negocio. En relación de la gestión de procesos de IT, marcos de referencia evidentes y las normas dicen claramente Qué Hacer, entretanto que la base de conocimientos ITI, desarrolla también en detalle el Cómo Hacerlo. 12

31 os estándares ITI obligan a una reconsideración en el área tecnológica y la definición de los elementos y procesos "críticos" dentro de una organización. ITI brinda pautas para la gestión de los procesos de TI relacionados como en la igura 2.5: igura 2.5 Áreas a las que se dirige ITI (uente: EIPE DONOO JAURÈ-Metodología ITI-Universidad de Chile) El "ciclo de vida del servicio" de la versión 3 se visualiza en formato lineal, es el eje conductor. a realidad es que esta representación lineal, define mejor una cadena de fabricación de servicios. 13

32 igura 2.6 Contenido de las cinco etapas del ciclo de vida de los servicios en ITI v3 (uente: itio Web oficial de ITI Norma IO a IO es una referencia de las buenas prácticas para la gestión de seguridad de la información que está constituida de los 11 dominios, 39 objetivos de control y una amplia serie de controles de seguridad igura 2.8. Esta norma es la única que no solo cumple con la problemática de seguridad, sino que realiza una vista integral a la seguridad de la información organizacional, incluyendo todas las funcionalidades de una organización que se trata. a norma involucra los riesgos físicos, operacionales y organizacionales de una empresa. 14

33 igura 2.7 Pirámide de Dominio (uente: itio Web oficial de IO Como lo expresamos con anterioridad el Estándar Internacional IO 27002, está sujeta a un número de categorías de seguridad principales, en donde se lo observa en la igura 2.7 con los 11 dominios: 21 Gestión de incidentes en la seguridad de la información. Gestión de la continuidad del negocio. Gestión de comunicaciones y operaciones. Adquisición, desarrollo y mantenimiento de los sistemas de información. eguridad física y ambiental. eguridad ligada a los recursos humanos. Gestión de activos. Control de acceso. Aspectos organizativos de la seguridad de la información. Política de seguridad. Cumplimiento

34 igura 2.8 Modelo de Gestión de la eguridad (uente: itio Web oficial de IO eguridades en irewall Amenazas y ataques Hoy en día toda organización está expuesta a múltiples amenazas de seguridad por la conexión a Internet. Hemos encontrado nueve tipos y estilos básicos de ataques, que se alcanzaría cuando las redes se encuentren conectadas a Internet: Ataque a accesos de confianza, este tipo de ataques se caracteriza en el uso sobre sistemas UNIX, ya que algunos mecanismos de confianza (telnet, ftp o rlogin) son sumamente frágiles. De tal forma que los hackers solo averiguar el nombre de una máquina de confianza para acceder muy fácilmente al sistema. Ataques basados en contraseñas, son los ataques más comunes que existen. El mecanismo funciona, a través de un identificador de un usuario acompañado de 16

35 la contraseña, intentando una y varias vez hasta descubrir con la contraseña correcta. A partir de esto, comenzar un nuevo estilo de ataque, ataque basado en diccionario, que consiste en ataques automatizados a las contraseñas, a través de un programa que prueba todas las palabras de un diccionario. ecuestro de sesiones, es un ataque mucho más simple que el de predicción de números de secuencia, consiste cuando el intruso establece la conexión entre el servidor y cliente, mediante el ingreso a los dispositivos de la red desprotegidos o firewalls poco apropiados, y este encuentra los números de secuencia entre usuarios. El intruso se adueña de las direcciones de un usuario real, secuestrando su sesión. Después, el anfitrión se desconecta de su usuario y el intruso tiene todo el acceso libre a los archivos a los que podía acceder el usuario legítimo. Predicción de números de secuencia, es una técnica de falsificación de direcciones IP en redes UNIX. Direcciones IP falsas, el envió de datos de un computador a otro, se involucra tanto la identificación del emisor como la del receptor. Este sistema lo utiliza un hacker enviando información falsa como la identidad de un ordenador a la red. De tal forma dispone de todos los paquetes entrantes (no los que salen) tanto en los sistemas y servicios de los mismos. Tomemos en cuenta, que todas las respuestas a consultas y peticiones no llegarían al impostor, sino al ordenador que se intenta copiar. Interceptación de paquetes (packet sniffer), es de la más compleja de todos los ataques. Pueden obstruir todo tipo de paquetes, transferencias de los números de las tarjetas de crédito, mensajes de inicio de sesión, correo electrónico, etc., una vez retenido el paquete, se tiene toda la información almacenada en él, tales como el nombre del dispositivo, identidad del usuario y la contraseña. Regularmente, este ataque es el primero antes que el ataque usando direcciones IP falsas. 17