TEMA 6 AUDITORÍA DE LA SEGURIDAD LÓGICA Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre virus Técnicas de auditoría Objetivos del tema Conocer la importancia de la de la información Conocer que es el acceso lógico Conocer las principales exposiciones a riesgos de acceso lógico Conocer los controles más usuales de acceso lógico Conocer que es el software de control de acceso Conocer técnicas de auditoría del acceso lógico 1
Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre virus Técnicas de auditoría Elementos clave de la gestión de la Políticas y procedimientos Organización Elementos clave de la gestión de la Políticas y procedimientos Debe haber una política de organización general manifestando el claro compromiso de la alta dirección dando directrices al respecto ASPECTOS A RECALCAR la importancia de la información para la organización la necesidad de la la importancia de definir los activos sensibles y críticos a proteger las responsabilidades 2
Elementos clave de la gestión de la Organización Las responsabilidades de proteger cada activo y de llevar a cabo procesos específicos de deben estar claramente definidas. La política de debe dar una guía general de cómo asignar estas responsabilidades Elementos clave de la gestión de la Asignación de responsabilidades Dirección ejecutiva Tiene la responsabilidad global de la de la información. Comité de Debe estar constituido por gerentes de diferentes niveles Su tarea es la de discutir temas de y establecer las prácticas de. Elementos clave de la gestión de la Asignación de responsabilidades Propietarios de datos Determinan los niveles de clasificación de los datos en cuanto a su criticidad y niveles de acceso Son los responsables de dar el tipo de acceso a los datos bajo su responsabilidad. Propietarios de procesos Son los responsables de la de los procesos bajo su responsabilidad en línea con la política de la organización 3
Elementos clave de la gestión de la Asignación de responsabilidades Desarrolladores de TI Implementan la de la información Especialistas de Promueven y ayudan en el diseño, implementación, gestión y revisión de la política y procedimientos de Elementos clave de la gestión de la Asignación de responsabilidades Usuarios Seguir los procedimientos establecidos en la política de leer la política de mantener en secreto la identificación de usuario y la contraseña informar de las sospechas de violación de la mantener una buena física cerrar las puertas, llaves de acceso en lugar seguro, no revelar la clave de acceso de cerraduras electrónicas, preguntar a personas desconocidas. cumplir las leyes y regulaciones legales Elementos clave de la gestión de la Asignación de responsabilidades Auditores de SI Dar un aseguramiento independiente a la gerencia de la adecuación y eficacia de los objetivos de de la información. 4
Elementos clave de la gestión de la Clasificación de datos Archivos informatizados tienen diversos grados de sensibilidad Clasificaciones simples alta, media y baja Reducción riesgo/costo excesivo en protección recursos informáticos Concesión acceso datos/programas producción por propietario Programadores aplicaciones trabajan sobre Datos/programas en entorno de prueba Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre virus Técnicas de auditoría Crímenes informáticos utilización sistemas informáticos para : robo dinero/ bienes/software/información manipulación aplicaciones/datos robo ordenador. robo ideas/información confidencial. Perjudiciales para: reputación moral existencia de una organización. 5
Crímenes informáticos Amenazas Pérdidas financieras directas -pérdida fondos electrónicos- indirectas -costos corregir exposición al riesgo- Repercusiones legales Pérdida credibilidad/competitividad Chantaje/espionaje industrial Divulgación información confidencial/sensible/embarazosa Sabotaje Crímenes informáticos Causantes violaciones acceso lógico Piratas informáticos (Hackers) Personal de SI Usuarios finales Ex-empleados Crímenes informáticos Causantes violaciones acceso lógico Terceros interesados o capacitados Competencia Potencias extranjeras Crimen organizado Piratas informáticos contratados terceros (Crackers) Personal tiempo parcial/temporal Proveedores y Consultores Externos Legos, accidentalmente 6
Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre virus Técnicas de auditoría Exposiciones de acceso lógico (1/2) Alteración/uso/destrucción programas/datos no autorizada Manipulación de datos es el abuso más generalizado requiere poco conocimiento técnico Caballos de Troya Redondeo por defecto Técnica de la rodaja Exposiciones de acceso lógico (2/2) Virus informáticos Gusanos Bombas lógicas Puertas traseras Ataque asíncrono 7
Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre virus Técnicas de auditoría Rutas de Acceso Lógico Métodos de acceso lógico Consola del operador Ubicación sala ordenador/ instalación acceso físico solo operadores/soporte Terminales en línea Código usuario y contraseña acceso Software control acceso. Rutas de Acceso Lógico Métodos de acceso lógico Procesamiento diferido Acumular transacciones entrada Proceso posterior: tiempo determinado cantidad de transacciones. Restringir quién puede introducir transacciones (personal carga datos) quién puede iniciar proceso diferido (operadores/ sist. planif. trbjos Controlar procedimientos autorización manipulación transacciones antes proceso. 8
Rutas de Acceso Lógico Métodos de acceso lógico Puertos de llamada telefónica Identificar usuario remoto línea de respuesta de llamada código de usuario y software de control de acceso operador para verificar identidad Redes de telecomunicaciones Igual que terminales en línea Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre virus Técnicas de auditoría Los controles de acceso lógico son el método primario de gestionar y proteger los activos de información para reducir a un nivel aceptable el riesgo de una organización. Los auditores de SI tienen que entender la relación entre los controles de acceso lógico y las políticas y procedimientos de. Para hacer esto, los auditores de SI deben ser capaces de analizar y evaluar la eficacia de estos controles para conseguir los objetivos de de la información. 9
Software de control de acceso (SCA) Es un elemento crítico para asegurar la confidencialidad, integridad y disponibilidad de los recursos de información. Su propósito es el de prevenir el acceso y la modificación sin autorización a los datos sensibles y a la utilización de funciones críticas. Para conseguir este nivel de control es necesario establecer controles de acceso en todos los niveles de la arquitectura de SI Normalmente consiste en alguna forma de identificación y autentificación autorización del acceso registro e informe de las actividades de los usuarios Identificación y autentificación Es el proceso de probar la identidad de un usuario la identificación es el medio por el cual el usuario da su identidad la autentificación el medio por el cual el usuario da una información (algo que solamente él conoce o tiene) que garantiza que realmente es quien dice ser. Identificación y autentificación Código de usuario y contraseña(1/3) Es la técnica más conocida de identificación y autentificación Lista interna de código de usuario válidos -reglas acceso para cada usuario- La contraseña evita la utilización no autorizada El código de usuario da una identificación de la persona Autenticación proceso dos etapas: verificación código usuario válido substanciación validez personal por contraseña 10
Código de usuario y contraseña (2/3) Características de las contraseñas Fáciles recordar, difíciles adivinar Primera asignación Administrador de Seguridad Obligar a cambiar en la primera conexión A la tercera, perdió Olvido contraseña Cifradas internamente No exhibición contraseña Identificación y autentificación Identificación y autentificación Código de usuario y contraseña (3/3) Cambio periódico Reglas sintaxis (formato) + cuatro caracteres Combinación caracteres alfabéticos y numéricos No asociable con algo especial del usuario No reutilizable Desactivación códigos usuario sin actividad Desconexión automática Identificación y autentificación Control acceso biométrico Basado en características físicas usuario huella digital patrón de la retina necesita un lector especial control de acceso muy eficaz (difícil de eludir) puede no ser eficiente en cuanto costos. 11
Aspectos de la autorización El proceso de autorización del acceso normalmente requiere que el sistema pueda identificar y diferenciar a los usuarios. Las reglas de acceso (autorización) especifican quién puede acceder a qué. Las autorizaciones de acceso deben ser dadas en base a la necesidad de saber y a la necesidad de hacer y deben quedar documentadas estas necesidades. Aspectos de la autorización Cuando un auditor de SI revisa la accesibilidad al sistema, necesita saber que es lo que se puede hacer con el acceso y que es lo que está restringido. Las restricciones de acceso a nivel de fichero típicas son: solo lectura, consulta o copia solo escritura, creación, actualización o eliminación solo ejecución una combinación de las anteriores. El tipo de acceso menos peligroso es el de consulta o lectura, si la información no es sensible o confidencial Aspectos de la autorización Archivos y funciones informatizadas a proteger (1/2) Datos Utilidades Líneas telecomunicaciones Biblioteca contraseñas Biblioteca soportes magnéticos Software aplicaciones prueba producción Bibliotecas Archivos temporales Software base 12
Aspectos de la autorización Archivos y funciones informatizadas a proteger (2/2) Software control acceso Archivos registros históricos Bibliotecas procedimientos Eludir función proceso etiqueta Directorio/diccionario datos. Aspectos de la autorización Tablas de autorización El mecanismo de control de acceso utiliza tablas de autorización de acceso también conocidas como listas de control de acceso (ACLs access control lists). Las ACLs son un registro de (1) usuarios (humanos o no) a los que se ha dado acceso un determinado recurso del sistema (2) los tipos de acceso que les ha sido permitido. Las ACLs varían en cuanto su capacidad y flexibilidad algunas solo permiten especificaciones para ciertos grupos preestablecidos (p.e. propietario, grupo, resto del mundo) otras más avanzadas permiten grupos definidos por los usuarios. otras permiten denegar explícitamente el acceso a un usuario o grupo de usuarios. Aspectos de la autorización Restricción/seguimiento acceso funciones que eludan Solo deben tener acceso a ellas los programadores de sistemas Salto del proceso de etiquetas Utilidades que permiten salir del sistema de Códigos de usuario especiales 13
Aspectos de la autorización Convenciones nombres para el control del acceso Establecimiento propietarios datos/aplicaciones + Jefe Seguridad Su sofistificación depende de la importancia y nivel Promover convecciones de nombres que: permitan reglas acceso eficientes simplifiquen la administración de la Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre virus Técnicas de auditoría Controles sobre virus Dos formas principales prevención y detección virus: buenas políticas y procedimientos medios técnicos Ambas necesarias 14
Controles sobre virus (1/ 2) Generar sistema utilizando copias maestras originales y limpias Solo discos analizados en máquina aislada de único propósito Actualizar el software antivirus frecuentemente Protección escritura disquetes.exe.com Demostraciones en máquinas vendedores Software antivirus estaciones trabajo y servidores.... Controles sobre virus Medios técnicos prevención hardware estaciones trabajo sin disquetes arranque de forma remota contraseñas basadas en el hw protección escritura disquetes. software antivirus Controles sobre virus Software antivirus Eficaz solo si actualiza periódicamente Escáneres buscan secuencias bits examinan memoria/sectores arranque/ficheros Monitores activos interceptan llamadas SO y BIOS buscando acciones virus molestos (no pueden distinguir petic. usuario/programa/virus) Chequeadores integridad se calcula número binario (CRC) sobre programa libre virus se almacena CRC en BD se recalcula y compara cada vez que se invoca al programa 15
Tema 6. Contenido Objetivos del tema Elementos clave de la gestión de la Crímenes informáticos Exposiciones de acceso lógico Métodos de acceso lógico Controles sobre virus Auditoría de la lógica Auditoría de la Gestión la Consiste en la revisión del marco de la gestión de la en la organización Auditoría de la Gestión la Percepción y entrenamiento formales La eficacia de la siempre depende del personal Los empleados deben saber: qué se espera de ellos cuales son sus responsabilidades razones medidas de puertas cerradas utilización códigos de usuario repercusiones violación. 16
Auditoría de la Gestión la Percepción y entrenamiento formales El entrenamiento debe comenzar con un proceso de orientación de la Incrementar la percepción: revistas internas cumplimiento ostensible y coherente normas de pequeños recordatorios en reuniones con el personal. Programa a cargo administrador Seguridad. Determinación eficacia programa entrevistar muestra empleados Auditoría de la Gestión la Propiedad de los datos Responsabilidad datos debe estar distribuida Posibilita establecer un sistema de asignación de responsabilidades. TAs Determinar asignación correcta propiedad datos Determinar percepción responsabilidad Auditoría de la Gestión la Propiedad de los datos Propietarios de datos autorizar acceso asegurarse actualización reglas acceso cuando cambios personal inventario periódico reglas de acceso de sus datos Custodios de datos Responsables almacenar/salvaguardar los datos Administrador de Seguridad Usuarios de datos Acceso: - autorizado por Propietarios datos - controlado por Admon. Seguridad Cumplir políticas / cuidado con personas no autorizadas en áreas de trabajo 17
Auditoría de la Gestión la Autorizaciones documentadas El acceso a los datos debe estar autorizados por escrito. TA Determinar correcto nivel autorización por escrito. -solo propietarios datos pueden autorizar el acceso a los datos de su propiedad- Auditoría del acceso lógico Obtener un conocimiento general de los riesgos de revisando documentación relevante, preguntando, observando y evaluando riesgos Documentar y evaluar los controles sobre las posibles vías de acceso al sistema revisando los aspectos de del hardware y el software e identificando deficiencias y redundancias Probar los controles sobre las vías de acceso utilizando técnicas de auditoría apropiadas. Auditoría del acceso lógico Evaluar el entorno de control de acceso analizando los resultados de las pruebas y otras evidencias de auditoría obtenidas Evaluar el entorno de revisando las políticas por escrito, observando las prácticas operativas y los procedimientos 18
Auditoría del acceso lógico Familiarización con el entorno de procesamiento de la información Necesaria para una evaluación eficaz de los controles de acceso lógico Su propósito es determinar en qué áreas hay que poner el foco de la auditoría. Consiste en revisar todos los niveles de asociados con la arquitectura de sistemas de información red plataforma de sistema operativo base de datos aplicaciones Auditoría del acceso lógico Familiarización con el entorno de procesamiento de la información Consiste en obtener una clara comprensión del entorno gerencial, técnico y físico del centro de procesamiento de la información. Típicamente incluye: entrevistas, recorridos físicos, examen de documentos y evaluación de riesgos. Auditoría del acceso lógico Documentación vías acceso Ruta lógica que utiliza usuario para acceder información. Terminal(PC) ---------------hw + sw-------------------datos TA: comprobar implementación y acceso físico/lógico 19
Auditoría del acceso lógico Documentación vías acceso Secuencia del acceso lógico (1/4) El usuario utiliza un Terminal (PC) para acceder al sistema terminal resguardado físicamente cd usuario/contraseña cumplan restricciones establecidas. Software Telecomunicaciones (ST) intercepta código usuario direcciona al enlace telecomunicaciones correcto. TA: Aseguramiento aplicaciones definidas para ST controles/funciones telecomunicaciones adecuados y aprobados Conveniente contar con ayuda analista software sistemas Auditoría del acceso lógico Documentación vías acceso Secuencia del acceso lógico (2/4) Software proceso transacciones dirige transacciones al software aplicación. TA: correcta identificación usuario autorización usuario acceso aplicación Tablas internas restringidas Admon. Seguridad. Auditoría del acceso lógico Documentación vías acceso Secuencia del acceso lógico (3/4) Software Aplicación procesa transacciones según lógica programa TA acceso bibliotecas programas producción lógica programa cumple requerimientos SGBD dirige el acceso a los datos TA elementos datos identificados en DD acceso DD solo Admon BD elementos datos con control acceso 20
Auditoría del acceso lógico Documentación vías acceso Secuencia del acceso lógico (4/4) Datos aplicación. Software control acceso (SCA) refuerza componentes ruta acceso TA: componentes ruta acceso definidos para SCA reglas acceso definen quién sobre qué principio necesidad de saber Acceso tablas solo Admon. Seguridad. Auditoría del acceso lógico Entrevistas personal sistemas Fuente información valiosa para comprensión. Reunión gerente SI Revisar organigramas/perfiles personal Personal clave a entrevistar Admon Seguridad Gerente Control Red Gerente Software Sistemas Auditoría del acceso lógico Realizar un examen de los informes generados por el SCA Los informes generados por el SCA brindan al Administrador de Seguridad la oportunidad de monitorizar el cumplimiento de las políticas de Mediante su revisión de una muestra de los informes, el Auditor puede determinar si se suministra suficiente información para respaldar una investigación si el administrador de realiza una revisión eficaz de estos informes. Los intentos infructuosos de acceso deben ser informados, identificando la hora, el terminal, los datos de conexión y el archivo al cual se intentó acceder.. 21
Prueba de las prácticas y procedimientos Utilización tarjetas y llaves terminales tomar muestra intentar lograr acceso no autorizado verificar si seguimiento intentos violación Identificación del terminal Obtener listado direcciones/ubicaciones terminales. Inventariar terminales registrados incorrectamente /faltantes / adicionales. Verificar identificados en Diagrama de Red -muestreo- Prueba de las prácticas y procedimientos Códigos usuario y contraseñas Intentar adivinar contraseña muestra códigos usuario de empleados Buscar contraseñas cerca terminales/interior cajones/papeleras Verificar contraseñas están cifradas en tablas. Prueba de las prácticas y procedimientos Códigos usuario y Contraseñas Autorización acceso Muestreo documentos autorización acceso Autoridad correcta Autorización por necesidad de saber. Obtener informe reglas acceso y muestrear determinar si acceso por necesidad de saber emparejar muestra reglas con documentos autorización Cambio periódico Entrevistar muestra usuarios 22
Prueba de las prácticas y procedimientos Códigos usuario y Contraseñas Borrado contraseñas inactivas obtener listado códigos de usuario activos Emparejar lista con empleados actuales -muestreo- Sintaxis contraseñas Intentar crear contraseñas formato inválido demasiado corta/larga, repetición contraseña anterior,... Desconexión automática Tiempo Conectarse y esperar Nº Intentos Equivocarse varias veces Procedimiento reactivación Prueba de las prácticas y procedimientos Controles recursos de producción Utilidades Bibliotecas LCT (JCL) Parámetros software sistemas TA Quién puede tener acceso recursos Qué puede hacerse con ese acceso. Acceso por necesidad de saber. Prueba de las prácticas y procedimientos Registro y generación informe violaciones acceso ordenador Intentar accesos no autorizados. Prueba coordinada con propietarios datos y Admon Seguridad Seguimiento de las violaciones de acceso Obtener muestra informes Buscar evidencia seguimiento e investigación violaciones de acceso. Indagar casos no seguimiento 23
Prueba de las prácticas y procedimientos Procedimientos devolución de llamada Llamadas desde nºs autorizados/no Prueba de las prácticas y procedimientos Autorización de cambios a la red muestreo solicitudes cambio recientes buscar autorización apropiada emparejar solicitud dispositivo red real emparejar cambios recientes a la red -nuevas líneas, terminales,...- con solicitudes de cambio autorizadas. Verificar acceso software cambio red solo por Gerencia de Red. Prueba de las prácticas y procedimientos Identificación métodos eludir y controles compensatorios Área revisión muy técnica. Analista software de base / Gerentes Red, Operaciones, Admon Seguridad Uso funciones eluden : registradas, informadas, investigadas por Admon. Seguridad/Gerente Software Base Desactivadas funciones salto innecesarias Sometidas a controles de acceso lógico 24
Prueba de las prácticas y procedimientos Revisión procedimientos administración contraseñas Determinar lo siguiente: Existencia procedimientos añadir/borrar individuos listas CA cambiar sus derechos Existencia procedimientos aseguramiento no divulgación contraseñas Contraseñas generadas longitud adecuada, no fáciles adivinar Cambio periódico contraseñas Gerentes usuarios validan derechos acceso a su personal Suspensión códigos usuarios/ inhabilitación terminal tras un nº violaciones Identificación física sede CPD discreta y reservada. 25