8 PROTECCIÓN DE LA INFORMACIÓN 8.1 GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 8.1.1 Elementos clave 8.1.2 Clasificación de datos 8.1.3 Acceso al sistema 8.1.4 Factores críticos de éxito 8.1.5 Crímenes informáticos 8.2 SEGURIDAD LÓGICA 8.2.1 Exposiciones de acceso lógico 8.2.2 Métodos de acceso lógico 8.2.3 Controles de acceso lógico 8.2.3.1 Software de control de acceso 8.2.3.2 Identificación y autentificación 8.2.3.3 Temas de autorización 8.2.3.4 Tablas de autorización 8.2.3.5 Restricción y monitorización del acceso a las funciones que eludan la seguridad 8.2.3.6 Convenciones sobre nombres para el control de acceso 8.2.4 Controles sobre Virus 8.3 AUDITORÍA DE LA SEGURIDAD LÓGICA 8.3.1 Auditoría de la gestión de la seguridad 8.3.1.1 Revisión de las políticas y procedimientos 8.3.1.2 Políticas de seguridad de acceso lógico 8.3.1.3 La Percepción de la Seguridad y el Entrenamiento formales 8.3.1.4 Propiedad de los datos 8.3.1.5 Autorizaciones documentadas 8.3.2 Auditoría del acceso lógico 8.3.2.1 Familiarización con el entorno de procesamiento de la información. 8.3.2.2 Documentación de las vías de acceso: 8.3.2.3 Entrevistas al personal de sistemas 8.3.2.4 Realizar un examen de los informes generados por el Software de Control de Acceso 8.3.3 Prueba de las prácticas y procedimientos de seguridad 8.3.3.1 Utilización de las tarjetas y llaves de terminales 8.3.3.2 Identificación de terminal 8.3.3.3 Códigos de usuario y Contraseñas 8.3.3.4 Controles sobre los recursos de producción 8.3.3.5 Registro y generación de un informe de violaciones de acceso al ordenador 8.3.3.6 Seguimiento de las violaciones de acceso 8.3.3.7 Controles de devolución de llamada 8.3.3.8 Autorización de cambios a la red 8.3.3.9 Identificación de métodos para eludir la seguridad y controles compensatorios al respecto 8.3.3.10 Revisar los controles de acceso y la administración de contraseñas 121
8.4 CONTROLES SOBRE EL ACCESO FÍSICO Y EL ENTORNO 8.4.1 Seguridad del acceso físico 8.4.1.1 Exposiciones de acceso físico 8.4.1.2 Controles de acceso físico 8.4.1.3 Auditoría del acceso físico 8.4.2 Seguridad del entorno 8.4.2.1 Exposiciones del entorno 8.4.2.2 Controles para exposiciones del entorno 8.4.2.2 Auditoría de los controles del entorno Este tema presenta el conocimiento básico necesario para evaluar la seguridad lógica, del entorno y de la infraestructura de TI de una organización. Este conocimiento permite determinar si la seguridad establecida satisface las necesidades que tiene una organización para salvaguardar la información de la utilización, revelado, y modificación sin autorización y de la pérdida o daño accidental o maliciosa. Hay cuatro áreas de preocupación en cuanto a la evaluación de la protección de la información: 1. Evaluar el diseño, implementación y control de los controles de acceso lógico para asegurar la integridad, confidencialidad y disponibilidad de la información. 2. Evaluar la seguridad de la infraestructura de redes para asegurar la integridad, confidencialidad, disponibilidad y la utilización autorizada de la red y la información transmitida. 3. Evaluar el diseño, implementación y el control de los controles del entorno para prevenir y/o minimizar pérdidas potenciales. 4. Evaluar el diseño, implementación y el control de los controles de acceso físico para asegurar que el nivel de protección de la información y las instalaciones es suficiente para alcanzar los objetivos de negocio de la organización. 8.1 GESTIÓN DE LA SEGURIDAD DE LA INFORMACION 8.1.1 Elementos clave Para que la seguridad se implemente y mantenga con éxito, se deben establecer y comunicar claramente los elementos esenciales para la gestión de la seguridad de la información. Entre ellos se incluyen: Políticas y procedimientos- Debe comenzar con una política de organización general manifestando el claro compromiso de la alta dirección y dando directrices al respecto. Aspectos a contemplar en esta política son la importancia de la información para la organización, la necesidad de la seguridad, la importancia de definir los activos sensibles y críticos a proteger, y las responsabilidades. Una vez aprobada la política se deben desarrollar los estándares, controles, prácticas y procedimientos en cada sistema a introducir y mantener en el sistema de seguridad Organización Las responsabilidades de proteger cada activo y de llevar a cabo procesos específicos de seguridad deben estar claramente definidas. La política de seguridad debe dar una guía general de cómo asignar estas responsabilidades. Esto se puede suplantar, cuando sea necesario, con guías más detalladas para ubicaciones, sistemas o servicios específicos. Las responsabilidades a considerar por posición incluyen: 122
Dirección ejecutiva- tiene la responsabilidad global de los activos de información. Comité de seguridad las políticas y procedimientos de seguridad afectan a toda la organización, por tanto, deben tener el soporte de los usuarios finales, dirección ejecutiva, administración de la seguridad, personal de SI y asesoría legal. Por lo tanto se debe constituir un comité de seguridad con gerentes de diferentes niveles cuya tarea es la de discutir temas de seguridad y establecer las prácticas de seguridad. Propietarios de datos determinan los niveles de clasificación de los datos en cuanto a su criticidad y niveles de acceso. Son los responsables de dar el tipo de acceso a los datos bajo su responsabilidad. Propietarios de procesos son los responsables de la seguridad de los procesos bajo su responsabilidad en línea con la política de la organización Desarrolladores de TI Implementan la seguridad de la información Especialistas de seguridad Promueven y ayudan en el diseño, implementación, gestión y revisión de la política y procedimientos de seguridad de la organización. Usuarios Deben seguir los procedimientos establecidos en la política de seguridad de la organización que generalmente incluye: leer la política de seguridad mantener en secreto la identificación de usuario y la contraseña informar de las sospechas de violación de la seguridad mantener una buena seguridad física cerrando las puertas, dejando en lugar seguro las llaves de acceso, no revelando la clave de acceso de cerraduras electrónicas y preguntando a personas desconocidas. cumpliendo las leyes y regulaciones legales siguiendo las regulaciones de privacidad respecto a información confidencial (salud, legal, etc.) Auditores de SI Suministran un aseguramiento independiente a la gerencia de la adecuación y eficacia de los objetivos de seguridad de la información. 8.1.2 Clasificación de datos Los archivos informatizados, al igual que los documentos, tienen diversos grados de sensibilidad. Las clasificaciones del grado de sensibilidad deben ser simples, tales como alta, media y baja. Los gerentes de usuarios finales y el Administrador de Seguridad pueden utilizar esas clasificaciones para determinar quién puede estar en condiciones de acceder qué archivos. La clasificación de los datos reduce el riesgo y el costo de excederse en la protección de los recursos informáticos. La clasificación de datos es extremadamente importante para la identificación de quién debe tener acceso a datos y programas de producción y a los de prueba. Los datos de producción son los datos actuales o históricos reales. El acceso a estos datos o programas lo debe conceder su correspondiente propietario. Los datos y programas de prueba generalmente son los datos y programas a los que un Programador de Aplicaciones o un miembro del equipo de desarrollo de sistemas tiene acceso para escribir, corregir o mantener un programa o una aplicación en la que se esté trabajando. Los programadores de aplicaciones o los programadores de desarrollo de sistemas no deben tener acceso a los datos o programas de producción. Sus derechos de acceso se deben restringir solo al entorno de pruebas. De esta manera, la clasificación de datos como medida de control debe definir: 123
quién tiene derechos de acceso quién es el responsable de determinar los derechos de acceso y los niveles de acceso qué aprobaciones son necesarias para el acceso 8.1.3 Acceso al sistema El acceso al sistema es la habilidad de hacer algo con un recurso de información. Por ejemplo, la habilidad para leer, crear, modificar o eliminar un fichero, ejecutar un programa o utilizar una conexión externa. El acceso al sistema es tanto físico como lógico. Los controles de acceso lógico proveen un medio técnico de controlar que información pueden utilizar los usuarios, los programas que pueden ejecutar y las modificaciones que pueden realizar. Dichos controles pueden ser parte del sistema operativo o incorporarse en los programas, los sistemas de base de datos, los dispositivos de control de red o las utilidades. Los controles de acceso físico restringen la entrada y la salida del personal, y a veces del equipamiento, de un área tal como un edificio, centro de datos o habitación conteniendo equipamiento de proceso de datos. Hay muchos tipos de controles de acceso físico tales como tarjetas de identificación, tarjetas de memoria, llaves y tabiques desde el suelo hasta el techo. El acceso al sistema se debe dar en base al principio de necesidad de saber para poder realizar una tarea. Esto significa que habrá que establecer criterios para decidir que tipo de acceso se da a los diferentes usuarios a los datos, programas y recursos específicos. Por ejemplo podría ser deseable dar acceso a todo el personal de una organización a cierta información, como un calendario de reuniones no confidenciales. Sin embargo que el programa que formatea y presenta este calendario solo fuese modificable por unos pocos, mientras que el acceso directo al sistema operativo sobre el que corre el programa sea restringido aún a un número menor. Generalmente el control del acceso se consigue a través de los mecanismos de seguridad que dan los siguientes cuatro niveles: redes, sistema operativo, bases de datos y aplicaciones. 8.1.4 Factores críticos de éxito La gestión de la seguridad de la información para ser eficaz requiere el compromiso y soporte de la alta dirección. Este compromiso se manifiesta aprobando y dando soporte a la concienciación y la formación formales en la seguridad. Esto incluye su propia formación. La política de seguridad y los procedimientos relacionados deben estar actualizados y reflejar que se utiliza una estrategia basada en riesgos para identificar los recursos críticos de información de tal manera que haya un entendimiento claro de los riesgos y las amenazas. El desarrollo de la política de seguridad de la información es responsabilidad de la alta dirección, delegando su implementación en los apropiados niveles de la dirección. Dicha política da el marco para diseñar y desarrollar los controles de acceso lógico. La política contribuye a la protección de los activos, siendo su objetivo el de proteger la información contra todo tipo de riesgos, accidentales o intencionales. La existencia y la promoción de una política de seguridad de la información es de capital importancia para la supervivencia y el desarrollo de una organización. La política debe asegurar la conformidad de los sistemas con las leyes y regulaciones y la integridad, confidencialidad y disponibilidad de los datos. 124
8.1.5 Crímenes Informáticos Los delincuentes pueden utilizar los sistemas informáticos para robar dinero, bienes, software o información de la empresa, p.e. un listado de clientes. También constituye un delito cuando se manipula el proceso de una aplicación o los datos para que se acepte información falsa o transacciones no autorizadas. También está el hecho para nada técnico de robar el ordenador. Pueden cometerse delitos informáticos sin que se substraiga nada. La mera visualización de información puede ofrecer suficiente información al delincuente para robar ideas o información confidencial. Los delitos informáticos con el fin de aprovecharse del ordenador y la información que contiene pueden ser perjudiciales para la reputación, la moral y la mismísima existencia de una organización. El resultado puede consistir en la pérdida de clientes, una situación embarazosa para la gerencia o el inicio de acciones legales contra la organización. Entre las amenazas para la organización se cuentan: Pérdidas financieras Pueden ser directas, por la pérdida de fondos electrónicos, o indirectos, a causa de los costos de corregir la exposición al riesgo. Repercusiones legales Existen numerosas leyes que protegen derechos a la intimidad y los derechos humanos que deben ser tenidas en cuenta por la organización en la etapa de desarrollo de las políticas y procedimientos de seguridad. Estas leyes pueden proteger la organización, pero también proteger de juicios al causante. Asimismo, el hecho de no contar con medidas correctas de seguridad puede exponer a la organización a juicios de los inversores o aseguradores si se produjera una pérdida significativa por violación de la seguridad. La mayoría de las empresas están bajo la supervisión de entes de control según el negocio que realizan y cuyas normas deben acatar. El Auditor de SI debe recurrir a asesores jurídicos cuando procede a hacer un examen de las cuestiones relacionadas con la seguridad informática. Pérdida de credibilidad o margen de competitividad Muchas organizaciones, en especial las empresas de servicios como los bancos, entidades de ahorro y préstamo o inversiones necesitan una alta credibilidad y confianza del público para mantener su competitividad o incluso seguir funcionando. Una violación a la seguridad puede dañar gravemente esa credibilidad, con la consiguiente pérdida de negocios y prestigio. Chantaje/espionaje industrial. Al lograr acceso a la información confidencial o los medios para efectuar un impacto adverso sobre las operaciones del ordenador, puede exigirse a la organización pagos o servicios bajo amenazas de aprovecharse de la brecha en la seguridad. Divulgación de información confidencial, sensible o embarazosa. Tal como se mencionó anteriormente, tales hechos pueden dañar la credibilidad de una organización y los medios que utiliza para realizar el negocio. También puede ocasionar que se presenten acciones legales o de índole administrativa contra la empresa. Sabotaje. En algunos casos no se busca una ganancia financiera, sino que simplemente mueve el deseo de realizar daño. Puede darse cuando el causante odia la organización o simplemente desea un reto contra el cual enfrentarse. 125
Normalmente, quienes violan el acceso lógico son las mismas personas que pueden aprovecharse de las exposiciones físicas, aunque las destrezas que se requieren para aprovecharse de las aquellas son de índole más técnica y compleja. Los tipos de causantes de dichas violaciones inluyenr: Piratas informáticos Los piratas informáticos por lo general intentan poner a prueba los límites de las restricciones de acceso para demostrar su capacidad para superar los obstáculos. A menudo no entran con el propósito de destrucción, aunque ese suele ser el resultado final. Empleados (autorizados y no autorizados) Personal de SI Son quienes tiene el acceso a la información más fácil debido a que son los que custodian la información. Además de los controles de acceso lógico, la buena segregación de funciones y supervisión ayudan a controlarlos. Usuarios finales Exempleados En particular, hay que tener cuidado con los que han dejado la organización en condiciones conflictivas. Terceros interesados o capacitados Competencia Potencias extranjeras Crimen organizado Piratas informáticos contratados por un tercero (Crackers) Personal a tiempo parcial o temporal Proveedores y Consultores Externos Legos, accidentalmente Quien comete una violación sin saberlo. 8.2 SEGURIDAD LÓGICA Los controles de acceso lógico son el método primario de gestionar y proteger los activos de información para reducir a un nivel aceptable el riesgo de una organización. Por ejemplo, el concepto de control de acceso lógico se relaciona con gestionar y controlar el acceso a los recursos de información que residan en sistemas tanto de ordenador central como basados en redes. Los auditores de SI tienen que entender la relación entre los controles de acceso lógico y las políticas y procedimientos de seguridad. Para hacer esto, los auditores de SI deben ser capaces de analizar y evaluar la eficacia de estos controles para conseguir los objetivos de seguridad de la información. Los controles de acceso lógico inadecuados incrementan el potencial de pérdidas de una organización debida a exposiciones a riesgos. Las exposiciones a riesgos que existen debido a debilidades de control de acceso lógico accidental o intencional incluyen: 8.2.1 Exposiciones de acceso lógico Un ataque de negación de servicio interrumpe o deniega completamente el servicio a usuarios legitimados, redes sistemas y otros recursos. La intención de estos ataques normalmente es de naturaleza maliciosa y suele requerir poca especialización porque las herramientas necesarias para perpetrar el ataque se pueden conseguir fácilmente. 126
Las exposiciones técnicas son la alteración, uso o destrucción de programas de producción y archivos de datos no autorizada (deliberada o no intencionada) a nivel de sistema operativo, red o aplicación. Existen muchos términos para estos tipos de exposición, entre los que se encuentran: Caballos de Troya Consiste en ocultar código con fines maliciosos dentro de un programa autorizado. Tal código oculto se ejecutará cuando se ejecute el programa autorizado. Un ejemplo clásico de Caballo de Troya es el programa de Cálculo de Sueldos que le quita una pequeña cantidad a cada liquidación de sueldos y los imputa a la cuenta del autor. Redondeo por defecto Consiste en retirar pequeñas sumas de dinero de una transacción o cuenta y enviar la cantidad a la cuenta del autor de la violación. Se denomina redondeo por defecto pues se redondean muy pequeñas sumas y se las transfiere a una cuenta no autorizada. Dado que tales sumas son muy pequeñas, es difícil que se descubran. Técnica de la rodaja o tajada Esta técnica es similar a la técnica del Redondeo por defecto, pero consiste en tomar una pequeña tajada de las sumas de las transacciones o cuentas. Virus Los virus informáticos son programas dolosos que pueden autoduplicarse y transmitirse de un ordenador a otro, sea al compartir disquetes o por la transmisión de la lógica por medio de líneas de telecomunicaciones o contacto directo con el código/máquina infectada. Un virus puede simplemente mostrar un mensaje gracioso en los terminales, o borrar peligrosamente o alterar los archivos informatizados, o llenar la memoria del ordenador con basura hasta el punto que el ordenador deje de funcionar. El peligro adicional es que un virus permanezca hibernando o en un estado aletargado hasta que determinado acontecimiento lo ponga en actividad, como una fecha (el lº de enero - Feliz Año Nuevo) o que se copie una cantidad de veces. Sin embargo, entretanto el virus se ha estado propagando en silencio. Gusanos Son programas destructivos que borran datos o utilizan grandes cantidades de recursos del ordenador o de comunicaciones pero no se duplican. Bombas lógicas Las bombas lógicas son similares a los virus, pero no se autoduplican. Puertas traseras Las puertas traseras son puntos de salida de un programa que permiten que se inserte lógica especial dentro en un programa autorizado, tal como interrupciones del programa para poder revisar los datos en el medio del procesamiento. Estos agujeros también permiten que se inserte lógica no autorizada. Ataque asíncrono En un ambiente de multiproceso los datos viajan a través de líneas de telecomunicaciones asíncronas (en una sola dirección por vez). Por ello, muchas transmisiones deben esperar que la línea esté libre y fluya en la dirección adecuada antes de que se transmita. Los datos que estén en espera son susceptibles a acceso no autorizado denominado ataques asíncronos. Esta es una exposición muy compleja, para evaluarla el Auditor de SI necesitará la ayuda del administrador de red y del analista de software. Fugas de datos 127
La fuga de datos consiste en la extracción de información de dentro del ordenador. Puede realizarse imprimiendo archivos en listados, o simplemente robar informes informatizados o cintas. Interceptación de líneas Esta técnica consiste en captar la información que se esté transmitiendo por medio de líneas de telecomunicaciones Apagado del ordenador Puede iniciarse el apagado del ordenador por conexiones directas (en línea) con terminales o microordenadores o indirectas (líneas de telemarcado) de terminales. A menudo para ello se requiere tener acceso a un código de usuario de alto nivel. No resulta tan difícil si los controles de acceso correctos no están implementados alrededor de los códigos de usuario y las conexiones de telecomunicaciones con el ordenador. 8.2.2 Métodos de acceso lógico Para realizar una evaluación eficaz de los controles de acceso lógico en una organización, los auditores necesitan obtener un entendimiento del entorno de TI. El propósito de esto es determinar en qué áreas desde un punto de vista de riesgo hay que poner el foco de la auditoría. Este entendimiento incluye revisar todos los niveles de seguridad asociados con la arquitectura de sistemas de información informatizados. Estos niveles son la red, la plataforma de sistema operativo, la base de datos y las aplicaciones El acceso lógico al ordenador puede hacerse por distintas vías. Cada una de ellas debe tener niveles adecuados de seguridad de acceso. Entre los métodos de acceso se incluyen: Consola del operador Estos terminales controlan la mayoría de las operaciones y funciones del ordenador. Deben estar ubicados en la sala del ordenador o en una instalación adecuadamente controlada de manera que solo se permita el acceso físico a la consola a los operadores del ordenador y al personal de soporte. Terminales en línea Este modo de acceso lógico es el más popular entre los usuarios. Generalmente requiere un código de usuario y una contraseña para tener acceso al ordenador. El acceso en línea permite el procesamiento de los datos en forma inmediata. El acceso en línea sirve para la carga de transacciones, consultas a archivos y la actualización de los archivos (agregar, cambiar, borrar). Dado que el acceso es inmediato, también los es iniciar la seguridad lógica respecto de este acceso. Este control se satisface mediante el uso de software de control de acceso. Procesamiento diferido Esta modalidad de acceso es indirecta ya que el acceso se realiza por medio del procesamiento de las transacciones (proceso por lotes). Generalmente consiste en acumular las transacciones de entrada y procesarlas después de determinado tiempo o de que se haya acumulado cierta cantidad de transacciones. La seguridad lógica se realiza determinando quienes pueden acumular transacciones (personal de carga de datos) y quienes pueden iniciar el procesamiento diferido (operadores del ordenador o el sistema automatizado de asignación de trabajos). Asimismo, se debe controlar cuidadosamente los procedimientos de autorización para manipular las transacciones acumuladas antes de procesar el lote. Puertos de llamada telefónica 128
La utilización de puertos de conexión por llamada telefónica consiste en conectar un terminal remoto a una línea telefónica y así tener acceso al ordenador al marcar el número de una línea telefónica especial. Normalmente se debe utilizar un módem como interfaz entre el terminal remoto y la línea telefónica a fin de codificar y decodificar las transmisiones. La seguridad lógica se realiza dando un medio para identificar a un usuario remoto para determinar la autorización de acceso que posee. Ello se puede hacer por medio de una línea de respuesta de llamada, utilización de un código de usuario y software de control de acceso, o haciendo participar a un operador del ordenador para que verifique la identidad de quien hace la llamada y luego realizar la conexión al ordenador. Redes de telecomunicaciones Las redes de telecomunicaciones enlazan los terminales de ordenador con un ordenador por medio de líneas de comunicaciones. Las líneas pueden ser privadas, es decir dedicadas a un solo usuario, o públicas, como las de los sistemas nacionales de teléfonos. La seguridad debe realizarse de la misma manera que en los terminales en línea. 8.2.3 Software de control de acceso 8.2.3.1 Software de control de acceso El software de control de acceso, cada vez más, es un elemento crítico para asegurar la confidencialidad, integridad y disponibilidad de los recursos de información. El propósito del software de control de acceso (SCA) es el de prevenir el acceso y la modificación sin autorización a los datos sensibles y la utilización de funciones críticas. Para conseguir este nivel de control es necesario establecer controles de acceso en todos los niveles de la arquitectura de SI. Normalmente esto consiste en alguna forma de identificación y autentificación, autorización de acceso y registro e informe de las actividades de los usuarios 8.2.3.2 Identificación y autentificación Es el proceso de probar la identidad de uno, donde la identificación es el medio por el cual el usuario da su identidad y la autentificación el medio por el cual el usuario da una información (algo que solamente el conoce o tiene) que garantiza que realmente es quien dice ser. La técnica más conocida es la de código de usuario y contraseña. Algunas de estas técnicas son las siguientes: Código de usuario y contraseña Esta identificación del usuario en dos etapas puede utilizarse para limitar el acceso a la información, transacciones informatizadas, programas y software de sistemas. El ordenador puede llevar una lista interna de códigos de usuario válidos y los correspondientes conjuntos de reglas de acceso para cada código de usuario. Las reglas de acceso identifican los recursos informatizados a los que puede acceder cada código de usuario. El formato de los códigos de usuario, por lo general, está estandarizado. La contraseña es lo que evita la utilización no autorizada, dado que, por lo general, la decide el usuario. El código de usuario da una identificación de la persona. Cada usuario recibe un código de usuario que puede ser identificado por el sistema. El código de usuario da la autenticación del usuario. La autenticación es un proceso en dos etapas en el cual el sistema informatizado primero verifica que el usuario 129
tiene un código de usuario válido y luego obliga al usuario a substanciar su validez personal por medio de una contraseña. Características de las contraseñas Las contraseñas deben ser fáciles de recordar para el usuario, pero difíciles de adivinar para quien intente violarlas. La primera asignación de la contraseña debe ser hecha por el Administrador de Seguridad. Cuando el usuario se conecte por primera vez, el sistema debe obligarle a cambiarla para mejorar su confidencialidad. A la tercera, perdió. Si se introduce una contraseña errónea un determinado número de veces, por lo general tres, se debe desactivar automáticamente el código de usuario por un tiempo apreciable. Si un código de usuario ha quedado desactivado por el olvido de la contraseña, el usuario debe notificarlo al Administrador de Seguridad. Este último sólo debe reactivar el código de usuario tras verificar la identificación del usuario, tal como lo hace un banco con la identificación de un cliente antes de dar información por teléfono, por ejemplo: apellido de soltera de la madre, devolver la llamada tras verificar el número interno del usuario, o solicitar verificación al supervisor del usuario. Las contraseñas deben estar encriptadas internamente. El encriptado es un medio de codificar la contraseña almacenada. Con ello se reduce el riesgo de que un individuo tenga acceso a las contraseñas de otras personas, si no la puede entender, tampoco la podrá utilizar. Las contraseñas no deben estar visibles de ninguna manera, ni en la pantalla del ordenador cuando se entra, ni en los informes informatizados, o escritas sobre un papel adherido al escritorio de una persona. Las contraseñas se deben cambiar periódicamente. En forma regular, por ejemplo cada 30 días, el usuario debe cambiar su contraseña. El mejor método es que el sistema obligue a cambiarla. El cambio voluntario es sólo eso, voluntario; así que es probable que no se haga. Reglas de sintaxis (formato) de la contraseña Debe tener por lo menos cuatro caracteres de longitud. Más corta es fácil de adivinar. Debe permitir la combinación de caracteres alfabéticos y numéricos. No se debe poder asociar con algo especial del usuario, como sucede con el primer nombre, nombre del cónyuge, de una mascota, etc. Cuando se cambie, el sistema no debe permitir que se vuelvan a utilizar contraseñas utilizadas previamente. Los códigos de usuario que no sean utilizados tras cierto tiempo se deben desactivar para evitar que sean mal utilizados. Esto lo puede hacer el sistema de forma automática o el Administrador de Seguridad de forma manual. El sistema debe desconectar automáticamente una sesión si no se produce actividad transcurrido un tiempo, por ejemplo, una hora. Con ello se reduce el riesgo de un uso inapropiado de una sesión desatendida porque el usuario se haya, por la causa que sea, y se haya olvidado de hacer la desconexión. Control de acceso de seguridad biométrico 130
Este control limita el acceso al ordenador a partir de características físicas del usuario, tales como una huella digital o el patrón de la retina. Para interpretar las características biométricas de la persona antes de permitir acceso al ordenador se utiliza un lector especializado. Este es un control de acceso muy eficaz ya que es difícil de eludir, pero puede que no sea eficiente debido al alto costo del hardware y software que se necesita. 8.2.3.3 Aspectos de la autorización del acceso El proceso de autorización del control de acceso normalmente requiere que el sistema pueda identificar y diferenciar a los usuarios. Por ejemplo, el control de acceso a menudo está basado en los privilegios mínimos necesarios, es decir dar a los usuarios solo los accesos que necesitan para realizar su trabajo. Las reglas de acceso (autorización) especifican quién puede acceder a qué. Las autorizaciones de acceso deben ser dadas en base a la necesidad de saber y a la necesidad de hacer y deben quedar documentadas estas necesidades. Tener acceso al ordenador no siempre implica que se tenga acceso sin restricciones. El acceso se puede dar a diferentes niveles. Cuando un auditor de SI revisa la accesibilidad al sistema, necesita saber que es lo que se puede hacer con el acceso y que es lo que está restringido. Por ejemplo, las restricciones de acceso a nivel de fichero normalmente incluyen las siguientes: solo lectura, consulta o copia solo escritura, creación, actualización o eliminación solo ejecución una combinación de las anteriores. El tipo de acceso menos peligroso es el de consulta o lectura, si la información no es sensible o confidencial. Ello es así porque el usuario no puede alterar o utilizar el fichero informático más allá de su mera visualización o impresión. A continuación se presenta una lista de los Archivos y funciones informatizadas a proteger con controles de acceso lógico más normales: Datos Software de aplicaciones de prueba de producción Servidores de nombres de dominio Utilidades Bibliotecas/directorios Contraseñas Archivos temporales en discos Biblioteca de soporte magnéticos Software de sistemas Software de control de acceso Bibliotecas de procedimientos del sistema Archivos de registros históricos Característica de eludir el procesamiento de etiqueta Salidas del sistema del operador Líneas de telecomunicaciones 131
Diccionario de datos Colas de spool 8.2.3.4 Tablas de autorización Para dotar de seguridad a lo anterior, el mecanismo de control de acceso utiliza tablas de autorización de acceso también conocidas como listas de control de acceso (ACLs access control lists). Las listas de control de acceso son un registro de (1) usuarios humanos o no (incluyendo grupos, máquinas, procesos) a los que se ha dado acceso un determinado recurso del sistema y (2) los tipos de acceso que les ha sido permitido. Las listas de control de acceso varían en cuanto su capacidad y flexibilidad. Algunas solo permiten especificaciones para ciertos grupos preestablecidos (p.e. propietario, grupo, resto del mundo) mientras que otras más avanzadas tienen mucha más flexibilidad, tal como grupos definidos por los usuarios. También, algunas permiten denegar explícitamente el acceso a un usuario o grupo de usuarios. 8.2.3.5 Restricción y monitorización del acceso a las funciones que eludan la seguridad Por lo general, solamente los programadores de sistemas deben tener acceso a este tipo de funciones. Entre estas funciones están: Salto del proceso de etiqueta El salto hace que el ordenador omita leer la etiqueta del archivo. Dado que la mayoría de las reglas de control de acceso se basan en los nombres de archivos (etiquetas), con ello puede omitirse la seguridad del acceso. Salidas del sistema Estas utilidades especiales de software de sistemas, permiten que el usuario pueda realizar complejos mantenimientos del sistema. A menudo estas utilidades están fuera del sistema de seguridad del ordenador y de esa manera no están limitadas o no se informa de su uso. Códigos especiales de usuarios Normalmente el proveedor del ordenador suministra estos códigos de usuario con el ordenador. Estos códigos pueden determinarse fácilmente pues son los mismos para ordenadores del mismo tipo. Se debe proceder a su restricción cambiando sus contraseñas de inmediato una vez dada la conformidad a la instalación del ordenador. 8.2.3.6 Convenciones de nombres para el control del acceso Las capacidades de acceso las implementa la administración de seguridad mediante un conjunto de reglas de acceso que estipulan que usuarios (o grupos de usuarios) están autorizados a acceder a un recurso (tal como un conjunto o un fichero de datos) y a qué nivel (tal como lectura o actualización). El software de control de acceso aplica estas reglas siempre que un usuario intente acceder a un recurso protegido. Las convecciones de nombres de control de acceso son estructuras que se utilizan para gobernar el acceso de los usuarios al sistema y la autorización que se les da para acceder o utilizar los recursos del sistema, tales como ficheros, programas y terminales. Estas convenciones generales de nombres son un requerimiento en un entorno informatizado para establecer y mantener la responsabilidad individual y la segregación de funciones del acceso a los datos. Las convenciones de nombres 132
normalmente las establecen los propietarios de los datos o de las aplicaciones con la ayuda del Jefe de Seguridad. La necesidad de una sofisticada convención de nombres sobre los controles de acceso depende de la importancia y el nivel de seguridad que se necesite para asegurar que no se ha concedido un acceso no autorizado. Es importante establecer convenciones de nombres que a la vez promuevan la implementación de reglas de acceso eficientes y que simplifiquen la administración de la seguridad. Las convenciones de nombres para los recursos de sistemas (conjuntos de datos, volúmenes, programas, terminales, etc.) son un requisito importante para la administración eficiente de los controles de seguridad. Por ejemplo, las convenciones de nombres se pueden estructurar para que los recursos que comiencen con el mismo cualificador se puedan gobernar por una o más reglas genéricas en vez de reglas específicas para cada recurso. Esto reduce el número de reglas requeridas para proteger los recursos adecuadamente, facilitando los esfuerzos de administración y mantenimiento de la seguridad. 8.2.4 Controles sobre Virus Los virus de ordenador son una amenaza para cualquier tipo de ordenador. Sus efectos pueden ir desde bromas molestas no dañinas hasta ficheros dañados y redes rotas. Los entornos de redes de hoy en día son el medio ideal para propagar virus a todo un sistema. No obstante, el mayor riesgo es el de un disquete infectado que se inserte en la unidad de disquetes. Hay dos formas principales para prevenir y detectar virus: la primera es teniendo establecidas buenas políticas y procedimientos; la segunda mediante medios técnicos que incluye el software antivirus. Ninguna de ella es efectiva sin la otra. Algunos de los controles que deben existir así como las políticas y procedimientos que deben estar puestos en práctica son las siguientes: Construir cualquier sistema utilizando copias maestras originales y limpias. Arrancar solo con disquetes originales siempre con la protección de escritura puesta. No permitir utilizar ningún disco hasta que haya sido analizado en una máquina aislada que se utilice única y exclusivamente para este propósito y que no esté conectada a la red. Actualizar el software antivirus frecuentemente Proteger de escritura todos los disquetes con extensiones.exe o.com Hacer que los vendedores hagan las demostraciones en sus máquinas y no en las de la empresa. Reforzar la regla de no utilizar software compartido sin haber previamente analizado en su totalidad dicho software El software comercial ocasionalmente lleva un Caballo de Troya (virus o gusano)- Analizarlo antes de que sea instalado. Insistir que los técnicos analicen sus discos en una máquina de prueba antes de utilizarlos en el sistema. Asegurar que el administrador de red utilice software antivirus de estaciones de trabajo y de servidores. Crear un registro de arranque maestro que haga inaccesible el disco duro cuando se arranque desde un disquete. Esto asegura que el disco duro no pueda ser contaminado por el disquete. Considerar el cifrar los ficheros y descifrar antes de la ejecución. 133
Asegurar que las actualizaciones de las pasarelas, encaminadores y gateways son auténticas. Esta es una forma muy fácil de poner y esconder un Caballo de Troya. Los respaldos son un elemento vital en la estrategia antivirus. Asegurar que se tiene un procedimiento de respaldo bueno y efectivo. Educar a los usuarios para que presten atención a estas políticas y procedimientos. Revisar las políticas y procedimientos antivirus al menos una vez al año. Los medios técnicos de prevención de virus se pueden implementar por medios de hardware y software. Hay cuatro tácticas de hardware para poder reducir el riesgo de infección: 1. Utilizar estaciones de trabajo sin disquetes. 2. Realizar el arranque de forma remota. 3. Utilizar contraseñas basadas en el hardware. 4. Utilizar la protección de escritura en los disquetes. Las herramientas software son las herramientas antivirus más comunes. El software antivirus se debe utilizar primariamente como un control preventivo. A menos que se actualice periódicamente el software antivirus no será una herramienta efectiva. Hay tres tipos diferentes de software antivirus: 1. Escáneres buscan secuencias de bits que sean típicas en programas de virus. Los escáneres examinan la memoria, los sectores de arranque en los discos, los ficheros ejecutables y de mandatos para localizar patrones de bits que casen con los virus conocidos. Los escáneres, por tanto, se tienen que actualizar periódicamente para que contemplen los nuevos virus para que sean eficaces. 2. Monitores activos interceptan las llamadas al DOS y a la BIOS (basic input output system) buscando acciones de virus. Los monitores activos pueden ser molestos porque no pueden distinguir entre una petición de usuario o una petición de programa o de virus. Como resultado, los usuarios tienen que confirmar acciones como formatear un disco o borrar un fichero o conjunto de ficheros. 3. Chequeadores de integridad calcula un número binario sobre un programa libre de virus que se almacena en la base de datos. Al número se le llama chequeo de redundancia cíclica (CRC cyclical redundancy check-). Cuando se invoca la ejecución del programa, el chequeador calcula el CRC del programa y lo compara con el número almacenado en la base de datos. Si no hay coincidencia de ambos números significa que el programa que se quiere ejecutar ha tenido un cambio y esto puede significar que se ha introducido un virus en él. Los chequeadores de integridad aprovechan la ventaja del hecho de que los programas ejecutables y los sectores de arranque no cambian muy a menudo. 8.3 AUDITORÍA DE LA SEGURIDAD LÓGICA 8.3.1 Auditoría de la gestión de la seguridad Consiste en la revisión del marco de la gestión de la seguridad en los elementos básicos del marco de seguridad de la información 8.3.1.1 Revisión de las políticas y procedimientos Las políticas y procedimientos suministran el marco y las directrices para mantener la operación y el control correctos. Como tales, deben ser revisados por el Auditor de SI para determinar si fijan un nivel de seguridad adecuado y contemplan los 134
medios de asignar la responsabilidad para mantener el entorno de proceso informatizado seguro. 8.3.1.2 Políticas de seguridad de acceso lógico Estas políticas deben alentar a limitar el acceso lógico a partir del principio de acceso por necesidad de saber. Deben evaluar razonablemente la exposición a riesgos respecto de los temas críticos que se identifiquen. 8.3.1.3 La Percepción de la Seguridad y el Entrenamiento formales Una seguridad eficaz siempre dependerá de las personas. Por ello, la seguridad sólo puede ser eficaz si los empleados saben lo que se espera de ellos y cuáles son sus responsabilidades. Deben tener conocimiento de las razones de las diversas medidas de seguridad, tal como las puertas cerradas y la utilización de los códigos de usuario, y las repercusiones de violar la seguridad. Promover la percepción de la seguridad es un control preventivo. Por medio de este proceso, los empleados perciben sus responsabilidades respecto de mantener buenas seguridades físicas y lógicas. Ello también puede constituir una buena medida de detección dado que alienta a que la gente identifique las posibles violaciones a la seguridad. La formación puede comenzar con un proceso de orientación. Puede incrementarse la percepción mediante revistas de circulación interna, por medio de un cumplimiento ostensible y coherente de las normas de seguridad y por medio de pequeños recordatorios durante las reuniones normales de trabajo. Este programa debe estar bajo la administración del Administrador de Seguridad. Para determinar la eficacia del programa, el Auditor de SI debe entrevistar a una muestra de los empleados para determinar su percepción global. 8.3.1.4 Propiedad de los datos La propiedad de los datos por los usuarios es un concepto mediante el cual la responsabilidad de la seguridad de los datos informatizados se distribuye entre los grupos que se mencionan más abajo. Un punto clave del concepto de propiedad es que, al asignar la responsabilidad de proteger los datos informatizados, se establece un sistema de asignación de responsabilidades. El Auditor puede utilizar esa información para determinar si se ha asignado la propiedad de los datos en forma correcta. Asimismo, al entrevistar una muestra de propietarios de datos, el Auditor puede determinar si perciben su responsabilidad de la propiedad de los datos. Los mencionados grupos son los siguientes: Propietarios de datos En general son los gerentes y directores que tienen responsabilidad de que la información que se plasme en los informes que genere el sistema sea la correcta. Su responsabilidad sobre la seguridad incluye: autorizar el acceso, asegurarse de que se actualizan las reglas de acceso cuando haya cambios en el personal y hacer un inventario, de forma periódica, de las reglas de acceso para los datos de los que son propietarios con el objetivo de garantizar un correcto mantenimiento de la seguridad. Custodios de datos Son los responsables de almacenar y salvaguardar los datos. Se incluye al personal de SI como los analistas de sistemas y operadores del ordenador. Administrador de Seguridad 135
Véase una descripción de esta función en el Tema 7. Usuarios de datos Quienes utilizan los datos, también denominados usuarios finales, son los destinatarios de los datos. Su nivel de acceso dentro del ordenador debe estar autorizado por los Propietarios de los datos. Su responsabilidad respecto de la seguridad es ser cuidadoso respecto de personas no autorizadas en las áreas de trabajo y cumplir con las directrices generales y políticas de seguridad. 8.3.1.5 Autorizaciones documentadas El acceso a los datos debe estar identificado y autorizado por escrito. El auditor puede hacer un examen de una muestra de estas autorizaciones para determinar si se suministra un correcto nivel de autoridad por escrito. Si el centro ha puesto en práctica el concepto de propiedad de los datos, solo los propietarios de los datos pueden dar autorización por escrito. 8.3.2 Auditoría del acceso lógico Cuando se evalúan los controles de acceso lógico el auditor debe: Obtener un conocimiento general de los riesgos de seguridad que tiene el proceso de la información, por medio de la revisión de documentación relevante, preguntando, la observación y la evaluación de riesgos Documentar y evaluar los controles sobre las vías potenciales de acceso al sistema para evaluar su adecuación, eficiencia y eficacia, mediante la revisión de los aspectos de seguridad del hardware y el software e identificando deficiencias y redundancias Probar los controles sobre las vías de acceso para determinar si están funcionando y son eficaces mediante la utilización de técnicas de auditoría apropiadas. Evaluar el entorno de control de acceso para determinar si se han conseguido los objetivos de control analizando los resultados de las pruebas y otras evidencias de auditoría obtenidas Evaluar el entorno de seguridad para determinar su adecuación mediante la revisión de las políticas por escrito, observando las prácticas operativas y los procedimientos, y comparándolos con los estándares o prácticas y los procedimientos de seguridad utilizados por otras organizaciones 8.3.2.1 Familiarización con el entorno de procesamiento de la información. Este es el primer paso de la auditoría e involucra obtener una clara comprensión del entorno gerencial, técnico y físico del centro de procesamiento de la información. Típicamente incluye: entrevistas, recorridos físicos, examen de documentos y evaluación de riesgos. 8.3.2.2 Documentación de las vías de acceso: La vía de acceso es la ruta lógica que utiliza un usuario final para acceder a la información. Comienza en un terminal/estación de trabajo y generalmente termina en los datos a los que quiere acceder. En esa vía se pasa por diversos componentes de hardware y software. El Auditor debe comprobar la correcta implementación y la correcta seguridad tanto del acceso físico y como del lógico de cada componente. La secuencia lógica de los componentes de una vía de acceso es: El usuario final utiliza un PC, que es parte de una RAL, para realizar la conexión. El PC debe estar físicamente seguro, teniendo que estar el identificador de 136
usuario/contraseña sujetos a las restricciones detalladas en el apartado características de las contraseñas y reglas de sintaxis de las contraseñas. El Software de Telecomunicaciones intercepta los datos de conexión y los dirige al enlace de telecomunicaciones correcto. El Software de proceso de transacciones es el siguiente componente en la vía de acceso. Este software dirige las transacciones al software de aplicación Lo siguiente que se encuentra es el Software de Aplicación que procesa las transacciones de acuerdo con la lógica del programa. El Sistema de administración de base de datos dirige el acceso a la información informatizada. Ahora ya se puede acceder a los Datos de aplicación. El Software de control de acceso es la capa de seguridad que envuelve a los componentes ya citados. 8.3.2.3 Entrevistas al personal de sistemas Normalmente se requieren expertos técnicos para controlar y mantener los diferentes componentes de la ruta de acceso, así como el sistema operativo y el ordenador central. Tales personas son una fuente de información valiosa para lograr una comprensión de la seguridad. Para determinar quienes son el auditor tendrá que preguntar al director de SI y revisar los organigramas y los perfiles del personal. El personal clave que debe entrevistar incluye al Administrador de Seguridad, al Gerente de Control de Red y al Gerente de Software de Sistemas. Durante las entrevistas, debe solicitar al Administrador de Seguridad que le especifique las responsabilidades y funciones de su cargo. Si las respuestas que da a esta pregunta no respaldan prácticas de control razonables, o no están conformes a la descripción de tareas descritas en los perfiles de puestos de trabajo, el Auditor de SI se puede ver obligado a expandir el alcance de las pruebas de los controles de acceso. 8.3.2.4 Realizar un examen de los informes generados por el Software de Control de Acceso Las informes generados por el SCA brinda al Administrador de Seguridad la oportunidad de monitorizar el cumplimiento de las políticas de seguridad. Haciendo una revisión de una muestra de los informes, el Auditor puede determinar si se suministra suficiente información para respaldar una investigación y si el administrador de seguridad revisa una revisión eficaz de estos informes. Los intentos infructuosos de acceso deben ser informados, identificando la hora, el terminal, los datos de conexión y el archivo al cual se intentó acceder. 8.3.3 Prueba de las prácticas y procedimientos de seguridad 8.3.3.1 Utilización de las tarjetas y llaves de terminales El Auditor de puede tomar una muestra de esas tarjetas y llaves e intentar lograr un acceso más allá de lo autorizado. También, debe determinar si el Administrador de Seguridad ha hecho un seguimiento de cualquier violación infructuosa que se haya intentado. 8.3.3.2 Identificación de terminal El Auditor puede trabajar con el Gerente de Red para obtener un listado de las direcciones y ubicaciones de los terminales. Después, puede utilizar esa lista para realizar un inventario de los terminales, investigando terminales registrados 137
incorrectamente, faltantes o adicionales. También debe seleccionar una muestra de terminales para asegurar que están identificados en el Diagrama de Red. 8.3.3.3 Códigos de usuario y Contraseñas El auditor debe intentar adivinar la contraseña de una muestra de códigos de usuario. Esto debe hacerse en forma discreta para evitar perturbar a los empleados. También debe hacer un recorrido de las áreas de trabajo de los usuarios finales y programadores en busca de contraseñas adheridas a los costados de los terminales y en el interior de los cajones. Otra fuente de información confidencial son las papeleras. Debe tener en cuenta la posibilidad de revisar las papeleras de la oficina para buscar información confidencial y contraseñas. Para probar el encriptado, el auditor debe trabajar con el Administrador de seguridad para intentar acceder a la tabla de contraseñas. Si es posible hacerlo, su contenido debe ser ilegible. Igualmente, que puedan visualizarse las contraseñas puede resultar peligroso. En algunos sistemas, aunque sea imposible descifrar las contraseñas, una persona puede conseguir el programa de encriptado, encriptar contraseñas comunes y buscar coincidencias. Para probar la autorización de acceso, el auditor debe hacer un examen de una muestra de documentos de autorización de acceso para determinar si se suministró la autoridad correcta y si la autorización se otorgó a partir de una necesidad de saber. Al revés, debe obtener un informe de las reglas de acceso al ordenador generado por ordenador y realizar una muestra para: l) determinar si el acceso se hace en función de la necesidad de saber y 2) intentar emparejar la muestra de esas reglas con los documentos de autorización. Si no se encuentran autorizaciones escritas, ello indicará una ruptura de los controles y puede implicar una necesidad de mayores exámenes para determinar las exposiciones a riesgos y sus consecuencias. Para probar las necesidades de cambio periódico, el auditor probablemente pueda utilizar su experiencia en el uso del sistema y entrevistar una muestra de usuarios para determinar si se los obliga a cambiar sus contraseñas luego de un período determinado de tiempo. Para probar el borrado de contraseñas inactivas, el auditor debe obtener un listado de códigos de usuarios activos. Por medio de un muestreo, debe emparejar esa lista con los empleados actuales, buscando códigos de usuario asignados a empleados o consultores que ya no trabajan en la empresa. Para probar la sintaxis de las contraseñas, el auditor debe intentar crear contraseñas con un formato no válido, por ejemplo, demasiado cortas, demasiado largas, repeticiones de la contraseña anterior, con una mezcla no correcta de caracteres alfabéticos y numéricos. Para probar la desconexión automática de terminales el auditor debe hacer una conexión en terminales y no introducir más transacciones. Luego simplemente esperar a que los terminales se desconecten tras el intervalo establecido. Antes de comenzar la prueba, debe verificar con el Administrador de Seguridad que la función de desconexión automática vale para todos los terminales. Para probar la desactivación automática de terminales tras un número de intentos infructuosos de acceso, el auditor debe intentar hacer una conexión introduciendo intencionadamente una contraseña equivocada una cantidad de veces. El identificador de usuario debe desactivarse luego de que se haya introducida una cantidad preestablecida de contraseñas inválidas. También debe preocuparse por cómo el Administrador de Seguridad reactiva el identificador de usuario. Si una simple llamada telefónica al Administrador de Seguridad sin verificación de la 138
identificación conlleva la reactivación, entonces la función no está controlada correctamente. Para probar el ennmascaramiento de las contraseñas en los terminales, el auditor debe hacer una conexión en un terminal y observar si exhibe la contraseña cuando se la introduce. 8.3.3.4 Controles sobre los recursos de producción Los controles de acceso al ordenador deben ir más allá de los datos de aplicación y las transacciones. Existen numerosas utilidades, bibliotecas de Lenguaje de Control de Trabajos, bibliotecas de control y parámetros de software de sistemas para los que el control de acceso debe ser especialmente fuerte. El auditor debe trabajar junto al Analista de Software de sistemas y el Gerente de Operaciones para determinar los recursos de producción sensibles. Cuando trabaje con el Administrador de Seguridad, debe determinar quién puede tener acceso a los recursos y qué puede hacerse con ese acceso. Debe determinar si el acceso se hace en función de una necesidad de saber. 8.3.3.5 Registro y generación de un informe de violaciones de acceso al ordenador Para probar la generación de informes de violaciones de acceso, el auditor debe intentar acceder a transacciones o a datos para los cuales el acceso no esté autorizado. Los intentos deben ser infructuosos y quedar identificados en los informes de seguridad. Esta prueba debe coordinarse con el propietario de los datos y el Administrador de Seguridad a fin de evitar violaciones a las normas de seguridad. 8.3.3.6 Seguimiento de las violaciones de acceso Para probar la eficacia y oportunidad de la respuesta del Administrador de Seguridad y el propietario de los datos a los intentos de violación informados, el auditor debe escoger una muestra de informes de seguridad, y buscar la evidencia de que se ha hecho el seguimiento e investigación de las violaciones de acceso. Si no se encuentra tal evidencia, debe realizar más entrevistas para determinar por qué existe tal situación. 8.3.3.7 Controles de devolución de llamada Para probar la autorización de devolución de llamada, el auditor debe llamar al ordenador desde números autorizados y no autorizados. Si los controles son adecuados, la conexión con éxito sólo podrá realizarse únicamente desde los números autorizados. También debe probar los controles lógicos que se aplican una vez lograda la conexión con el ordenador intentando acceder a archivos no autorizados. Esta prueba debe coordinarse con el Administrador de Seguridad a fin de evitar de violar las normas de seguridad. 8.3.3.8 Autorización de cambios a la red Los cambios de la configuración de la red de telecomunicaciones, terminales, módems y otros dispositivos de red, deben estar autorizados por la gerencia por escrito y deben ser implementados en forma oportuna. El auditor puede probar el control de cambios: l) realizando un muestreo de solicitudes de cambio recientes, buscando la autorización apropiada y emparejando la solicitud con el dispositivo de red real y 2) emparejando cambios recientes a la red, por ejemplo nuevas líneas de telecomunicaciones, terminales agregados, con solicitudes de cambio autorizadas. Como control adicional el auditor debe determinar quién tiene acceso al software para cambio de la red. Este acceso debe estar restringido a la Gerencia de Red. 139
8.3.3.9 Identificación de métodos para eludir la seguridad y controles compensatorios al respecto Este puede ser un área de revisión muy técnica. Por ello, el auditor debe trabajar en conjunto con el Analista de Software de Sistemas, el Gerente de Red, el Gerente de Operaciones y el Administrador de Seguridad para determinar las formas de eludir la seguridad. Cuando trabaje con el Administrador de Seguridad, debe determinar quién puede lograr acceso a esos recursos y qué puede hacerse con ese acceso. Después debe determinar si el acceso se basa en una necesidad de saber. Dado que muchas de las funciones para eludir la seguridad pueden ser aprovechadas por intrusos altamente capacitados el auditor debe enterarse de los controles compensatorios previstos, tales como los siguientes: Todos los usos de esas funciones deben: quedar registrados en un histórico, ser informados e investigados por el Administrador de Seguridad o el Gerente de Software de Base Deben desactivarse las funciones de eludir la seguridad innecesarias De ser posible, las funciones de eludir la seguridad deben estar sometidas a controles de acceso lógicos. 8.3.3.10 Revisar los controles de acceso y la administración de contraseñas Para determinar sí: Existen procedimientos para añadir individuos a las listas de autorizados a acceder a los recursos informáticos, cambiar sus derechos de acceso y borrarlos de la lista Existen procedimientos para asegurar que las contraseñas individuales no se divulgan inadvertidamente; Las contraseñas generadas son de una longitud adecuada, no son fáciles de adivinar y no contienen repetición de caracteres; Se cambian las contraseñas de forma periódica; Los responsables de los departamentos usuarios periódicamente validan los derechos de acceso que en ese momento se otorgan a las personas de sus respectivos departamentos; Los procedimientos determinan la suspensión de los códigos de identificación de usuario o la inhabilitación del terminal, microordenador, o de la actividad del dispositivo de carga de datos tras una determinada cantidad de violaciones a los procedimientos de seguridad; y La identificación física de la sede del CPD se hace en forma discreta y reservada. 8.4 SEGURIDAD DEL ACCESO FÍSICO Y DEL ENTORNO La exposición a riesgos de acceso físico y del entorno puede producir pérdidas financieras, repercusiones legales, pérdida de credibilidad o pérdida de competitividad. Tienen causas de origen natural o humanos y puede exponer el negocio al riesgo del acceso no autorizado. 8.4.1 Seguridad del acceso físico 8.4.1.1 Exposiciones de acceso físico Las exposiciones a riesgos debidas a violaciones accidentales o intencionadas de estas rutas de acceso incluyen: Entrada no autorizada 140