BIBLIOTECAS DEL TECNOLÓGICO DE MONTERREY
PUBLICACIÓN DE TRABAJOS DE GRADO
Las Bibliotecas del Sistema Tecnológico de Monterrey son depositarias de los trabajos recepcionales y de grado que generan sus egresados. De esta manera, con el objeto de preservarlos y salvaguardarlos como parte del acervo bibliográfico del Tecnológico de Monterrey se ha generado una copia de las tesis en versión electrónica del tradicional formato impreso, con base en la Ley Federal del Derecho de Autor (LFDA).
Es importante señalar que las tesis no se divulgan ni están a disposición pública con fines de comercialización o lucro y que su control y organización únicamente se realiza en los Campus de origen. Cabe mencionar, que la Colección de Documentos Tec, donde se encuentran las tesis, tesinas y disertaciones doctorales, únicamente pueden ser consultables en pantalla por la comunidad del Tecnológico de Monterrey a través de Biblioteca Digital, cuyo acceso requiere cuenta y clave de acceso, para asegurar el uso restringido de dicha comunidad.
Auditoría de Seguridad en el Comercio Electrónico-Edición
Única
Title Auditoría de Seguridad en el Comercio Electrónico-Edición Única
Authors José Francisco Cab Gutiérrez
Affiliation Campus Monterrey
Issue Date 2000-12-01
Item type Tesis
Rights Open Access
Downloaded 19-Jan-2017 08:04:44
INSTITUTO TECNOLÓGICO Y DE ESTUDIOS
SUPERIORES DE MONTERREY
CAMPUS MONTERREY
DIVISIÓN EN ELECTRÓNICA, COMPUTACIÓN,
INFORMACIÓN Y COMUNICACIONES
AUDITORIA DE SEGURIDAD EN EL
COMERCIO ELECTRÓNICO
T E S I S
MAESTRO EN ADMINISTRACIÓN DE
TECNOLOGÍAS DE INFORMACIÓN
JOSÉ FRANCISCO CAB GUTIÉRREZ
Instituto Tecnológico y de Estudios Superiores
de Monterrey
Campus Monterrey
División en Electrónica, Computación,
Información y Comunicaciones
Auditoría de Seguridad en el Comercio Electrónico.
TESIS
Presentada como requisito parcial para obtener el grado
académico de
Maestro en Administración
de Tecnologías de Información
José Francisco Cab Gutiérrez
Instituto Tecnológico y de Estudios Superiores
de Monterrey
División de Electrónica, Computación y Comunicaciones.
Programa de Posgrado en Computación, Información y
Comunicaciones.
Los miembros del comité de tesis recomendamos que la presente
tesis del Lic. José Francisco Cab Gutiérrez sea aceptada como
requisito parcial para obtener el grado académico de Maestro en
Administración de Tecnologías de Información.
Comité de Tesis:
Ramírez Velarde
za Salzar
lagTRicardoRendón Blacio
7
Dr. Carlos Scheel Mayenberguer
Director de los programas de Posgrado en Computación,
Información y Comunicaciones
Dedicatoria
A tí, mi Dios,
¡Por todas sus bendiciones y por estar conmigo siempre!
Agradecimientos
Al Ing. Raúl Ramirez, por su paciencia y por todo todas sus
aportaciones a este trabajo.
Al Dr. David Garza, por su apoyo, y por esas muy buenas ideas
que complementaron esté trabajo.
Al Ing. Ricardo Rendón, por su valioso tiempo invertido en
apoyarme para sacar adelante este trabajo.
Resumen
Revisando la historia de la humanidad, podemos encontrar que ésta, se divide por hechos o acontecimientos que impactaron en su momento a los hombres, como por ejemplo, la era industrial, donde se dio un paso importante para la producción masiva de productos; ahora con las computadoras y las redes de telecomunicaciones se han abierto en un período muy corto de tiempo infinidad de posibilidades para mejorar muchos aspectos de la vida diaria, entre los que podemos mencionar aspectos de comunicación, educativos y de negocios, éstos cambios son tan profundos que la humanidad todavía esta en la etapa de asimilar todas sus implicaciones.
Asimismo, la globalización que se refiere a la disponibilidad en cualquier lugar y en cualquier momento de productos y/o servicios esta fuertemente apoyada por las redes de computadoras, en particular por Internet, y entre otras bondades de esta red podemos mencionar además del comercio electrónico, el correo electrónico y la educación a distancia.
El comercio electrónico permite comprar y vender productos y servicios sin importar el lugar del mundo donde nos encontremos.
Con las herramientas de software y hardware disponibles en este momento es relativamente fácil introducirse al mundo del comercio electrónico, pero ésta facilidad permite que se descuiden detalles importantes en la implementación del negocio que pueden ocasionar pérdidas económicas tanto a los clientes como al negocio.
Para tratar de resolver los problemas anteriores, en esta tesis se presenta una metodología j w a auditar a las empresas que ofrecen productos y servicios en línea con el objetivo de que la empresa pueda detectar si su plataforma tecnológica tiene vulnerabilidades a las que hay que prestarles atención para corregirlas.
La metodología consiste de un cuestionario con 45 preguntas orientadas a conocer la base tecnológica de la empresa, las respuestas obtenidas del cuestionario son comparadas con el estado que se considera ideal según el aspecto que se este evaluando y en base a ésta comparación se hacen sugerencias para llaver todos los aspectos importantes a su estado ideal.
ÍNDICE
Lista de tablas x Lista de Figuras xi
CAPITULO l.-Introducción i
CAPITULO 2.-Comercio electrónico 3
2.1.-¿Qué es el Comercio electrónico? 3 2.2.-Estructura tecnológica de la industria del comercio electrónico 4 2.2.1.-Infraestructuradered .JT) 2.2.2.-Contenido multimedia e infraestructura de publicación en red 6 2.2.3.-Infraestructura de distribución de información 6 2.2.4.-Infraestructura común de los servicios de negocios 7 2.2.5.- Aspectos legales y aspectos de privacidad '-..I/ 2.2.6.- Estándares técnicos 7--2.3.- Tipos de comercio electrónico 8 2.3.1.- Comercio electrónico inter-organizacionales 8 2.3.2.- Comercio electrónico Intra-organizacional 9 2.3.3.- Comercio electrónico Cliente-Negocio 10 2.3.4.- Intermediarios y el comercio electrónico 10
CAPITULO 3.-Seguridad y privacidad n
3.1.- Privacidad en la información 11 3.2.- Firewalls y seguridad en red 12 3.2.1.-¿Qué es un firewall? 12 3.2.2.-Componentes de un firewall 14 3.2.3.-Componentes específicos y características 14 3.2.4.- Tipos de firewall ._15^ 3.2.5.- Ubicación de los firewalls (^_17__ 3.3.-Encriptación y transacciones seguras 17 3.3.1.-¿Qué es la criptografía y que hace? 18 3.3.2.- El mercado de la criptografía 19 3.4.-Autentificación 19_ 3.5.- Servidor de transacciones seguro ;..Í9
CAPITULO 4.-Auditoría 21
CAPITULO 5.-Auditoria de seguridad en el comercio
electrónico 33
5.1.-Objetivos, delimitaciones y alcance de la auditoria 33 5.2.- Perfil requerido en los auditores 34 5.3.- Fases de la auditoria de seguridad 34 5.3.1.-Conocimiento de la empresa a auditar 35 5.3.2.-Recopilación de documentación interna 35 5.3.3.-Cuestionarios para la auditoría de seguridad del comercio electrónico 35 5.3.3.1.-Cuestionarios a aplicar 36 5.3.4.-Realización de las entrevistas 55 5.3.5.-Identificación de riesgos 55 5.3.6.-Comprobación 56^ 5.3.7.-Determinación del estatus en seguridad de la empresa C56. 5.3.8.- Presentación del informe final 56
CAPITULO 6.-Aplicación de la Metodología 57
6.1.- Información general de la empresa a auditar 57 6.2.- Recopilación de documentación interna 57 6.3.- Cuestionarios realizado a personal de Decompras.com 58 6.4.- Identificación de riesgos •Í63,)
6.5.-Determinación del grado de vulnerabilidad 64 6.6.- Informe final 65
CAPITULO 7.-Conclusiones 68
7.1.- Trabajos futuros 70
Referencias Bibliográficas 71
VITA 91
Lista de Tablas.
Lista de Figuras.
Capítulo 1
Introducción.
La intimidad es un derecho del individuo, que con los medios de comunicación tradicionales como el correo postal y el correo certificado están garantizados, en cambio, con el uso generalizado de los sistemas de comunicaciones electrónicos, la intimidad y el anonimato de las personas se ven amenazadas continuamente.
Cada vez que alguien utiliza el correo electrónico, navega por la Web, interviene en foros de conversación, participa en grupos de noticias, hace uso de un servidor de archivos y adquiere productos o servicios por la red está revelando datos sensibles acerca de su personalidad, economía, gustos, hábitos sociales y residencia que pueden ser maliciosamente recolectados y utilizados por terceros, en perjuicio del usuario inocente.
La amenaza más evidente consiste en los ataques a la confidencialidad, autenticidad e integridad del correo electrónico, en nuestros días resulta sencillo hacer frente a estos ataques mediante los protocolos de comunicaciones basados en procedimientos criptográficos.
Hoy en día un gran número de empresas está incursionando en Internet para hacer negocios o con el fin de abarcar mayores mercados y obtener ventajas sobre sus competidores, pero Internet encierra muchas debilidades que de no conocerlas pueden ser motivo de dolores de cabeza para los empresarios debido al poco conocimiento que se tiene sobre los aspectos de seguridad y a la constante evolución que existe en ésta área.
Este trabajo analiza los aspectos donde se pueden encontrar puntos débiles en el comercio electrónico y propone una metodología para auditarlos.
Se propone un método que incluye un cuestionario y procedimientos de verificación para asegurarse que una empresa esté cumpliendo con los requisitos mínimos de seguridad que brinden confianza a sus clientes de que los negocios que está realizando por Internet son negocios confiables y que las amenazas a su privacidad han sido reducidas al mínimo o han sido eliminadas.
Aplicando esta metodología se le otorga a la empresa una calificación de certificada o no certificada y se le asigna un grado de confiabilidad para realizar intercambios económicos con otras entidades.
Este procedimiento es necesario debido a que existe mucha información sobre productos, protocolos y equipos que se pueden utilizar para implementar la seguridad, sin embargo, toda esta información esta dispersa, separada y en ocasiones solo una parte del problema es atacado con soluciones de seguridad, dejando al descubierto otros aspectos que
El proceso a seguir consiste en analizar los diferentes aspectos donde se pueden encontrar vulnerabilidades, para posteriormente identificar los puntos débiles que pueden representar un riesgo para la empresa y sus clientes y proponer acciones para eliminar estas debilidades; lo anterior incluye aspectos tecnológicos, procesos administrativos, aspectos de control y de las aplicaciones.
Capítulo 2
Comercio electrónico.
2.1 ¿Qué es el Comercio electrónico?.
El comercio electrónico es un término general aplicado al uso de computadoras y tecnologías de telecomunicaciones en una base inter-empresarial para apoyar el comercio de bienes y servicios, es un componente del e-business, y se refiere al mercadeo, compra y venta de bienes y servicios en línea. [CIELENS99]
Dependiendo del punto de vista, el comercio electrónico se puede definir de las maneras siguientes:
Desde una perspectiva de comunicaciones, el comercio electrónico es la entrega de información, productos, servicios, o de la realización de pagos mediante el uso de líneas telefónicas, redes de computadoras o cualquier otro medio.
Desde una perspectiva de negocios, el comercio electrónico es la aplicación de la tecnología para la automatización de las transacciones de negocios y flujos de trabajo.
Desde una perspectiva de servicio, el comercio electrónico es una herramienta que pone dirección a los deseos de una firma, de la administración y de los consumidores de incrementar la velocidad del otorgamiento de un servicio.
Desde una perspectiva en línea, el comercio electrónico provee la capacidad de comprar y vender productos e información en Internet y en otros servicios en línea. [KALAKO99]
El comercio electrónico esta haciendo un cambio en la competitividad a nivel mundial y en las expectativas de los consumidores al modificar las estructuras antiguas de la organización, dejando a un lado la brecha divisoria y selectiva entre clientes, proveedores y entre las mismas áreas internas.
El comercio electrónico es la forma en la que se realizan transacciones financieras o económicas por Internet, y se mantienen relaciones comerciales de manera directa entre comprador y vendedor. Las partes que se ven involucradas en el comercio electrónico, se conectan a través de redes de telecomunicaciones y equipos de cómputo.
electrónico permite tener acceso al mundo de la información, logrando desaparecer distancias reales y facilitando la entrada a un espacio global. También permite que consumidores de todo el mundo puedan comprar bienes y servicios diversos, que van desde un seguro de vida o software, hasta dulces o flores, no se tiene que viajar de tienda en tienda, haciéndose más fácil la compra y la selección del artículo o de los servicios que más se acomoden a nuestras necesidades. Toma parte en un mercado, donde quienes se ven involucrados en la transacción (consumidores, proveedores, clientes, empresas, suministradores de tecnología, gobiernos, etc.) pueden satisfacer sus necesidades electrónicamente, y se desenvuelven en un medio de operaciones y de transacciones que van desde el contacto del cliente y del proveedor inicial, hasta la compra-venta electrónica con el consumidor final.
2.2 Estructura tecnológica de la industria del comercio electrónico.
El comercio electrónico no solo afecta las transacciones entre las partes, también influye en la manera en la que los mercados son estructurados. Tradicionalmente, los mercados están atados al intercambio de bienes y servicios y al dinero. El comercio electrónico añade un nuevo elemento: la información. Las tecnologías han permitido la creación de nuevas oportunidades que permiten que nuevos jugadores ingresen, creando un nuevo conjunto de dinámicas de mercado.[KALAKO99]
Esquema genérico del comercio electrónico
Public
PÜIÍCN lugal
and Piivacy
: issues
r.lcctron i.c Commcicc Ap plica! ions
Suppiy Chaiii
Vi4co on dcrmuid Remóte bunking Proeuremenl and
i'kciina and
Com. -iness : serví oes infrsestructurc (security. authentication. clcctamic.
paymcni, directorjes catalogs)
nfo
Multimedia Conro»» and nelwork publi.sli. i .:. uclurc
inír;
Cal
Teiecoi >le T \
hit.
ule
n.
•rnct
red:
i ccnnica»
[image:19.612.91.523.82.716.2]docun seci-^ a n • ncl\.. prolowls
2.2.1 Infraestructura de red.
La supercarretera de la información tiene diferentes tipos de transporte y no funciona como una entidad monolítica; su arquitectura es una mezcla de redes de transporte de alta velocidad que incluyen líneas telefónicas, líneas terrestres e inalámbricas.
Los jugadores en este segmento de la industria se llaman proveedores de transporte de información e incluye compañías que ofrecen líneas telefónicas, sistemas de TV por cable coaxial, compañías inalámbricas que ofrecen radios móviles, redes satelitales y redes de computadoras, incluyendo a las privadas como CompuServe, America Online y redes públicas como Internet. [KALAKO99]
Este segmento también incluye hardware y software que ofrecen una interfase con los diferentes tipos de redes, se puede dividir en tres partes: TV por cable, telefonía basado en computadora y hardware de interconexión de redes (hubs, routers y switches). El área de mayor crecimiento en los últimos años ha sido el de los routers que se utilizan para la interconexión de redes y esta dominado por Cisco, 3Com, Bay Networks, etc.
2.2.2 Contenido multimedia e infraestructura de publicación en red.
Actualmente, la arquitectura más predominante que permite la publicación en red es el WWW. El Web le permite a los pequeños negocios e individuos desarrollar contenido en forma de hipertexto y posteriormente publicarlo en un servidor Web. En pocas palabras, el Web ofrece un medio para crear información y ofrece también mecanismos para publicar ésta información en un centro de distribución.
2.2.3 Infraestructura de distribución de información.
El contenido de la información transferida sobre la red consiste en texto, imágenes, audio y video, sin embargo, la red no hace diferencias en el contenido ya que todo es digital. Una vez que el contenido ha sido creado y almacenado en un servidor algunos "vehículos de transporte" y algunos métodos de distribución de información llevan el contenido a través de la red. Este vehículo llamado "software niddleware" que se ubica entre los servidores Web y las aplicaciones del usuario final enmascaran las peculiaridades del ambiente. El transporte y distribución de la información también incluye traductores que interpretan y transforman el formato de los datos.
estructurado podemos mencionar el intercambio de mensajes estandarizados entre aplicaciones de computadora mediante líneas de telecomunicaciones.
2.2.4 Infraestructura común de los servicios de negocios (seguridad, autentificación, pagos electrónicos).
El hacer negocios en línea ha recibido mucha atención tanto por su potencial, como por sus defectos, tales como directorios inadecuados, instrumentos de pago en línea y una mala seguridad de información. La infraestructura común de los servicios de negocios intenta hacerse cargo de estas debilidades.
Esta infraestructura incluye los diferentes métodos para facilitar los procesos de compra y venta en línea. A fin de permitir el pago en línea y asegurar su entrega, la infraestructura de los servicios de pago necesitan mecanismos de encriptación y autentificación para garantizar la confidencialidad del contenido que viaja por la red; el desarrollo de instrumentos de pago en línea seguros es actualmente una de las áreas más activas de investigación y desarrollo del comercio electrónico.
2.2.5 Aspectos legales y aspectos de privacidad.
Se refiere a todo lo que abarca el comercio electrónico como puede ser acceso universal, información de precios, privacidad, etcétera. A diferencia de las actividades de negocios, el comercio electrónico actualmente presenta políticas básicas y cuestiones legales. Las políticas del tráfico de la información tratan con el costo de acceder a la información, de regulaciones para proteger al consumidor de fraudes y proteger su privacidad. Los aspectos anteriores en sí mismos permiten soluciones aisladas, justo ahora están evolucionando y están incrementando su importancia conforme más gente ingresa el mercado electrónico.
2.2.6 Estándares técnicos.
2.3 Tipos de comercio electrónico.
Existen 3 clases generales de aplicaciones del comercio electrónico: inter-organizacionales (negocio a negocio), intra-inter-organizacionales (dentro del negocio) y cliente-negocio [KALAKO99]
2.3.1 Comercio electrónico Inter-organizacionales.
Desde el punto de vista Inter-organizacional, el comercio electrónico facilita las siguientes aplicaciones de negocio:
• Administración de los proveedores: Las aplicaciones electrónicas permiten a las compañías reducir el número de proveedores y facilitan las asociaciones de negocios, reduciendo los costos de procesamiento de las órdenes de compra y el tiempo de los ciclos, también permiten procesar un mayor número de ordenes de compra con menos personal.
• Administración del inventario.- Las aplicaciones electrónicas acortan el ciclo de la facturación de una orden. Si la mayoría de los socios de negocios están comunicados electrónicamente, la información alguna vez enviada por fax o por correo electrónico, puede ahora ser transmitida de manera instantánea. Los negociadores pueden verificar los documentos de lo que recibieron mejorando sus capacidades de auditoría. Esto también ayuda a reducir los niveles del inventario y elimina las ocurrencias de falta de productos en el inventario.
• Administración de la distribución.- Las aplicaciones electrónicas facilitan la transmisión de documentos tales como facturas de embarque, órdenes de compra, noticias del estado de los embarques, reclamaciones y permite mejorar la administración de recursos asegurando que los documentos contengan datos más exactos.
• Administración de los canales.- Las aplicaciones electrónicas propagan rápidamente información sobre cambios en las condiciones operacionales a los socios comerciales. Técnicamente, los productos y la información sobre precios que alguna vez requirió de repetir algunas llamadas y que disminuyó las horas de trabajo, ahora pueden ser publicadas en pizarras electrónicas. Ligando electrónicamente la información relacionada a la producción con los distribuidores internacionales y redes de revendedores, las compañías pueden eliminar cientos de horas de trabajo y asegurar exactitud en la información que comparten.
incrementan la velocidad en que las compañías hacen las facturas, y disminuyen las gratificaciones por transacciones y costos. [KALAKO99]
2.3.2 Comercio electrónico Intra-Organizacional.
El propósito de las aplicaciones intra-organizacionales es ayudar a la compañía a mantener las relaciones que son críticas para ofrecer valor agregado a los clientes. Esto se hace prestando una atención cuidadosa a la integración de diversas funciones dentro de la organización.
• Comunicaciones de los grupos de trabajo.- Estas aplicaciones permiten a los administradores comunicarse con sus empleados utilizando correo electrónico, videoconferencia y pizarras electrónicas. El objetivo es el uso de las tecnologías para incrementar la diseminación de la información, resultando en empleados mejores informados.
• Publicación Electrónica.- Estas aplicaciones permiten a la compañía organizar, publicar y diseminar manuales de recursos humanos, especificaciones de productos y permitir la búsqueda de información en minutos utilizando el WWW. El objetivo es ofrecer información para mejorar la toma de decisiones estratégicas y tácticas que se hacen en la firma; también, la publicación muestra beneficios claros e inmediatos: reduce los costos para la impresión y distribución de documentos, entrega rápida de la información y reducción de la información fuera de tiempo.
• Productividad de la fuerza de ventas.- Estas aplicaciones mejoran el flujo de información entre la producción y las fuerzas de ventas, entre las firmas y los clientes, mejorando la integración con otras partes de la organización. Las compañías pueden tener acceso a la inteligencia del mercado y a información del competidor, lo que puede desembocar en mejores estrategias. El objetivo es permitir a las firmas recolectar la inteligencia del mercado "market intelligence" rápidamente y analizar la información más a fondo.
2.3.3 Comercio Electrónico Cliente- Negocio.
Se refiere a las transacciones entre un cliente y un negocio utilizando herramientas electrónicas, los clientes aprenden sobre los productos a través de la publicación electrónica, comprando productos con dinero electrónico y otros sistemas de pago seguros.
Desde la perspectiva del cliente, el comercio electrónico facilita las siguientes transacciones económicas:
• Interacción social.- Las aplicaciones electrónicas permiten a los clientes comunicarse el uno al otro a través de correo electrónico, videoconferencia y grupos de discusión.
• Administración de las finanzas personales.- Aplicaciones electrónicas como Quicken le permiten a los consumidores administrar sus inversiones y sus finanzas personales usando herramientas bancarias en línea.
• La compra de productos e información.- Las aplicaciones electrónicas le permiten a los consumidores encontrar información en línea acerca de nuevos productos o servicios.
• El comercio electrónico ofrece a los clientes métodos más cómodos para realizar compras, elimina a muchos intermediarios, así como los costos de inventario y de distribución que indirectamente determinan precios más bajos para los clientes. [KALAKO99]
2.3.4 Intermediarios y el comercio electrónico.
Los intermediarios son agentes económicos que están entre las partes de un contrato o transacción, llamados compradores y vendedores y realizan funciones necesarias para el cumplimiento de un contrato. La mayoría de las firmas en los sectores financieros, incluyendo a los bancos y compañías de seguros son intermediarios.
Capítulo 3
Seguridad y privacidad.
A medida que el uso de las computadoras se incrementa en organizaciones privadas y públicas es difícil determinar hasta donde las computadoras van a llegar, o que tan responsables llegarán a ser en la sociedad; mientras las computadoras se convierten en elementos cada vez más vitales se vuelve más importante protegerlas de fallas, de catástrofes, de criminales, vándalos, incompetentes y de gente que abusa de su poder.
Ya que las computadoras están asumiendo funciones vitales en nuestra sociedad e industria hay que tomar serias consideraciones al respecto.
La seguridad, la veracidad en la información y la privacidad en la misma, se pueden alcanzar en un sistema de computadora y para esto es necesario una serie de medidas técnicas y administrativas. Estos tres aspectos deben ser considerados juntos cuando se este planeando la instalación de sistemas de cómputo.
Lo anterior afecta a todos los aspectos del diseño del sistema, incluyendo archivos, terminales, software, procedimientos operativos y planeación de la instalación física, esto debe ser entendido por todos los analistas de sistemas, y administradores de procesamiento de datos.[JAMES73]
Las técnicas deben de ser fáciles de entender por los auditores, y los administradores deben de estar conscientes de los problemas potenciales y los tipos de solución disponible.
3.1 Privacidad en la información.
Aunque la tecnología de la privacidad es parecida a la utilizada en los aspectos de seguridad, la privacidad es un aspecto que va más allá del centro de cómputo. Para preservar la privacidad de los datos de los individuos se necesitan soluciones adicionales a las soluciones técnicas. La sociedad del futuro dependerá del uso masivo de bancos de datos y se necesitarán nuevos controles sociales y legales si el grado de privacidad de la información que se tiene hoy quiere ser mantenida.
Diferencias entre privacidad y seguridad.- La seguridad de los datos se refiere a "la protección de los datos contra divulgación intencional o accidental a personas no autorizadas, o a la destrucción no autorizadas".
La privacidad se refiere "a los derechos de los individuos y organizaciones a determinar por si mismos cuando, cómo y que tipo de información referente a ellos es transmitido a terceros".
Los aspectos de seguridad también se extienden a los centros de procesamiento de datos en la organización, se debe de controlar el acceso a los datos clasificados o sensibles. En una corporación, el control es necesario para la información secreta y confidencial y este control se extiende al centro de computo, a sus terminales y más allá.
Privacidad de los datos comerciales.- La dispersión de los bancos de datos masivos y el teleproceso hacen que el argumento de la privacidad sea una un aspecto de suma relevancia para la industria de la computación.
En la industria, es más frecuente encontrar una mayor conciencia con respecto a la privacidad de los datos comerciales que con la privacidad de los individuos. El espionaje industrial y la venta no autorizada de datos competitivos están creciendo sustancialmente.
Las leyes en muchos países referentes al robo de secretos comerciales ofrecen poca protección. Cuando los datos son copiados a la cinta de un ladrón, nada físico es robado. Frecuentemente es difícil probar el hurto. En algunos casos las causas para desechar un caso son que los datos no fueron protegidos de manera adecuada por la empresa víctima del robo.
Grado de vulnerabilidad.- El grado de vulnerabilidad de una organización se puede evaluar por los efectos de las calamidades que pueden ocurrir. ¿Que tan vulnerable se es, si ciertos datos están incorrectos?, ¿Si son destruidos algunos registros?, ¿Si se quema el centro de computo?, ¿Si información confidencial se distribuye sin autorización?.
La vulnerabilidad a ciertos eventos se define como el costo que en el que la organización debe de incurrir si este evento de estos toma lugar. Hay que minimizar la vulnerabilidad de la organización a estos eventos y a las brechas en la privacidad o en la seguridad.
A continuación se tratan algunas herramientas que se pueden utilizar para disminuir el grado de vulnerabilidad en los sistemas de comercio electrónico.
3.2 Firewalls.
3.2.1 ¿Qué es un firewall?.
Un firewall es un dispositivo usado para prevenir que extraños tengan acceso a una red, este dispositivo es usualmente una combinación de hardware y software. Los firewalls implementan comúnmente esquemas o reglas que permiten el acceso a los dispositivos
El propósito principal de un fírewall es prevenir el acceso no autorizado a una red, esto implica proteger un sitio inmerso en Internet. [JAMES73]
El proceso más simple de autentificación que utilizan los firewalls es el uso de las direcciones IP como índice. Las direcciones IP son los índices de identificación universales en Internet. Estas direcciones puede ser estáticas o dinámicas.
• Una dirección IP estática es permanente, es la dirección de una máquina que esta conectada siempre a Internet.
• Una dirección dinámica es una que se asigna arbitrariamente y que siempre es diferente, se asigna cada vez que el nodo se conecta a la red. Las IPs dinámicas frecuentemente se utilizan por los ISPs para ofrecer acceso a Internet por línea telefónica. [ANONI97]
Un firewall trabaja básicamente examinando las direcciones IP de los paquetes de datos que viajan entre de un servidor y un cliente. Este mecanismo provee una manera de controlar el flujo de información para cada servicio por dirección IP y por puerto.
Ya sea dinámica o estática, esta dirección se utiliza siempre en todo el tráfico que se genera. Cuando se establece una conexión entre una máquina local y una remota, se llevan a cabo varios diálogos. [JAMES73]
Bajo circunstancias normales, cuando no existe ningún firewall o algún reemplazo como el TCP Wrappers, el dialogo entre la máquina local y la máquina remota ocurre directamente. [ANONI97]
. ; •• •
Router
DDDO
Router
Conexión Etli
serví neado.
[image:27.623.85.550.420.688.2]( ablí i thern de la re< it
Figura 3.1 Funcionamiento de una red tradicional.
Como se puede ver en la figura 2, el proceso aún sin seguridad es muy complejo:
1. Los datos se originan en algún lugar de la red local (tu red). En este caso se esta conectado a un proveedor de red (la misma red local).
2. La información viaja desde la máquina local a la máquina de los proveedores de red. Desde aquí, la información viaja a través de un cable Ethernet al servidor principal de la red (tu servidor).
3. El servidor de la red pasa esta información al router 1, el cual pone la información en la línea telefónica.
4. La información viaja a través de Internet (pasando a través de varios enrutadores o gateways ), hasta alcanzar el router 2, el router 2 pone la información en sus equipos, y lo envía al "Otro servidor" a través de la red Ethernet. [ANONI97]
Si ninguno de los lados tiene instalado aspectos de seguridad, el camino es directo para cualquier propósito. El router 2, por ejemplo, permite a los paquetes de cualquier origen (o dirección IP) viajar directamente a su servidor y por ende a la red. En ningún punto se observa algún obstáculo. A lo anterior se le conoce como situación insegura, sin embargo, por muchos años fue el estándar.
Hoy en día la situación anterior es extremadamente peligrosa, y existe una amplio gama de soluciones incluyendo el firewall. [ANONI97]
3.2.2 Componentes de un Firewall.
Los componentes fundamentales de un fírewall no existen en software o hardware, sino dentro de la mente de la persona que lo construye. Un firewall, es una concepción, es un concepto más que un producto, es una idea en la mente de un arquitecto sobre a quienes va a permitir acceso a la red y que influencian de manera dramática en la manera cómo el tráfico es direccionado, por esta razón, la construcción de un firewall es en parte arte, en parte sentido común, ingeniosidad y lógica. [CHES WI99]
3.2.3 Componentes específicos y características.
Los Firewalls pueden ser compuestos de software, hardware o de ambos. Los componentes de software pueden ser propietarios o de dominio público. El hardware puede ser cualquiera que soporte el software que se desea utilizar.
Los Firewalls también incluyen entre sus componentes los filtros. Los "filtros" bloquean la transmisión de ciertos tipos de tráfico.
Un "gateway" es una máquina o un conjunto de máquinas que ofrecen el paso a los servicios de acuerdo a los efectos del filtro.
Las redes habitadas por los gateways son llamadas frecuentemente zonas desmilitarizadas (DMZ). Un gateway en la DMZ es asistido algunas veces por un gateway interno, típicamente, los dos gateways tienen más comunicación abierta a través del filtro interno de lo que lo tiene el gateway externo tiene con los hosts internos.
En general, el filtro externo puede ser utilizado para proteger al gateway de algún ataque. Mientras que los filtros internos pueden ser utilizados para protegerse de las consecuencias de un gateway comprometido.
Cualquiera de los dos filtros puede ser utilizado para proteger la red interna de ataques. Un gateway expuesto se conoce como host de salvaguarda.[CHESWI99]
filtro filtro
dentro
QODD
[image:29.611.128.517.352.492.2]gateway
Figura 3.2 Funcionamiento de un Firewall
fuera
3.2.4 Tipos de Firewall.
Los firewalls se clasifican en 3 categorías principales: gateway de filtración de paquetes, gateway de circuitos y gateway de aplicaciones. Normalmente se usan más de uno al mismo tiempo. [CHES WI99]
Gateways de filtración de paquetes.- Los Firewalls de filtración de paquetes utilizan un gateway de seguridad útil y barato. La filtración de paquetes trabaja dejando pasar solamente a aquellos paquetes basados en su dirección fuente, dirección destino o
puerto.
Dependiendo del tipo de enrutador, la filtración se puede hacer al tiempo de ingreso, al tiempo de salida, o en ambos. El administrador hace una lista de las máquinas y de los servicios que son aceptados y una lista de las máquinas y servicios que no lo son , de esta manera es fácil permitir el acceso a un nivel de máquina o de red con la filtración de paquetes.
Las políticas de seguridad requieren de controles más finos que los anteriores, es necesario definir acceso a servicios específicos a las máquinas, por ejemplo, se puede permitir el acceso al correo electrónico, pero no al de transferencia de archivos, para hacer esto se necesita conocer la utilización de los puertos por los protocolos TCP y UDP de los sistemas operativos.
Aún cuando se han implementado perfectamente los filtros existe peligro de que se vean comprometidos algunos de ellos, generalmente se hace en los enrutadores, y los paquetes pueden ser examinados en la entrada o en la salida, aunque no todos permiten todas las posibilidades. [CHESWI99]
Gateways del nivel de aplicación.- Representa el extremo opuesto en el diseño de un firewall, más que usar un mecanismo de propósito general para permitir el flujo de diferentes tipos de tráfico, se utiliza un código de propósito especial para cada aplicación deseada. Aunque esto parece antieconómico, es más seguro que cualquiera de las otras alternativas, no hay que preocuparse de la interacción entre los diferentes conjuntos de reglas de filtración, ni de los huecos de seguridad en los cientos de hosts que ofrecen servicios al exterior. Solo un pequeño conjunto de programas deben ser analizados.[CHESWI99]
Los gateways de aplicación tienen otra ventaja que en algunos ambientes es crítico: es fácil almacenar logs y controlar todas las entradas y salidas de tráfico. Son usadas en conjunto con otros gateways de filtración de paquetes y los de nivel de circuitos.
La principal desventaja de este gateway es la necesidad de programas especializados de los usuarios para los servicios ofrecidos. En la práctica, esto significa que solo los servicios mas importantes serán soportados.
Gateways de circuitos.- Este tipo es muy bueno para conexiones hacia fuera, regula las conexiones TCP. El que llama se conecta a un puerto TCP en el gateway, y éste lo conecta al puerto destino en el otro lado del gateway, durante la llamada, los programas de autorización del gateway copian los bytes hacia delante y hacia atrás: el gateway actúa como el cable. [CHESWI99]
usa un mecanismo de control de acceso para asegurarnos que solo esta conexión externa puede realizarse al puerto de impresión del gateway.
3.2.5 Ubicación de los Firewalls.
Tradicionalmente, los firewalls son puestos entre una organización y el mundo externo. Muchas organizaciones pueden necesitar firewalls internos para aislar los dominios administrativos.
Existen muchas razones buenas para poner firewalls internos, en muchas compañías grandes la mayoría de los empleados maneja información no confidencial, en otras donde las facturas deben de ser accesibles a los desarrolladores o al personal de soporte, pero no a toda la gente de la corporación aún los usuarios autorizados deben de pasar a través de un gateway de seguridad cuando atraviesan el firewall, de otra manera si una máquina, que vive fuera del firewall esta comprometida, el equipo sensible que esta adentro será el siguiente. [CHES WI99]
Los firewalls son herramientas poderosas para la seguridad en red. Sin embargo, hay cosas que no pueden hacer. Es importante entender tanto sus limitaciones como sus beneficios.
3.3 Encriptación y transacciones seguras.
Las vulnerabilidades en la información no pueden ser eliminadas a través del uso de una sola herramienta, por ejemplo, es imposible prevenir por medios técnicos que una parte autorizada para acceso a cierta información revele ésta a alguien no autorizado. Sin embargo, como parte de un mecanismo para localizar las vulnerabilidades de un sistema, la criptografía es una herramienta poderosa que puede ayudar a asegurar la confidencialidad e integridad de la información, además de garantizar la autentificación de individuos.
La información que ha sido encriptada adecuadamente no puede ser entendida o interpretada por aquellos que carecen de la llave criptográfica apropiada; también la información cuya integridad ha sido verificada no puede ser alterada sin que se detecte.
La autentificación puede ayudar a restringir el acceso a los recursos solo a aquellos que se han autentificado adecuadamente, para de esta manera tomar ventaja y descubrir quienes han tenido accesos no autorizados [DAM91]
3.3.1 ¿Qué es la criptografía y que hace?.
La palabra criptografía se deriva del griego que significa escribir en secreto. Históricamente la criptografía ha sido utilizada para evitar el acceso a información por parte de gente no autorizada, especialmente durante comunicaciones donde la intercepción puede ser vulnerable. Para preservar el secreto, la criptografía ha jugado un papel importante por centurias en los asuntos militares de las naciones.
En el uso clásico de la criptografía para proteger las comunicaciones, es necesario, que tanto el origen como el destino tengan un conocimiento común del proceso de encriptación (algoritmo) y que ambos compartan un elemento en común, típicamente la llave o llave criptográfica, que es una pieza de información. En el proceso de desencriptación, el algoritmo transforma el texto cifrado en texto plano usando la misma llave que fue utilizada para encriptar el texto plano original. [DAM91]
La criptografía ofrece las siguientes características:
• Confidencialidad.- La información esta protegida de posibles accesos no autorizados mientras esta en tránsito durante las comunicaciones y/o cuando esta siendo almacenada en un sistema de información. Con la confidencialidad ofrecida criptográficamente, la información encriptada puede caer en manos de alguien no autorizado sin que se comprometa información alguna.
• Autentificación.- La criptografía ofrece la seguridad de que una identidad es válida para una persona (o sistema de cómputo). Con esta seguridad, es difícil para personas no autorizadas asumir la personalidad de alguien más.
• Chequeo de la integridad.- También ofrece la garantía de archivos de computadora no han sido alterados.
• Firmas digitales.- Asegura que un mensaje o archivo fue enviado persona específica. Una firma digital amarra la identidad de una persona del mensaje o archivo, ya que solo el que envía debe de conocer s x garantiza que la firma es válida y que quien envío el mensaje post desconocerlo. Si la persona divulga su clave privada a otra perso puede suplantar a la original.
• Estampa digital de tiempo/fecha.- Garantiza que el mensaje en la fecha y la hora dada. Generalmente, esta garantía la ofrece autoridad que abre el mensaje, le pone la estampa y firma digitalim archivo.
que los mensajes o
o creado por una con el contenido clave privada, esto nórmente no puede La, esta otra persona
Estas herramientas pueden ser utilizadas de manera complementaria. Por ejemplo, la autentificación es básica para controlar el acceso a un sistema o a la red.
La autentificación y el control de acceso pueden ayudar a proteger la privacidad de los datos almacenados en un sistema o en una red. Sin embargo un usuario no autorizado puede tener acceso a los datos a través de una aplicación diferente que no esta siendo controlada o a través del sistema operativo, por esto, la encriptación de estos archivos es necesaria para protegerlos de acceso mediante la utilización de puertas traseras.
3.3.2 El mercado de la criptografía.
Los productos que ofrecen capacidades de criptografía se pueden clasificar en 2 clases generales.
Específicos de seguridad o stand-alone: Son productos añadidos (frecuentemente hardware, pero algunas veces software) y frecuentemente requieren que los usuarios realicen operaciones por separado para invocar las partes de encriptación.
Integrados: Son productos con funciones de criptografía que han sido incorporados en las aplicaciones de hardware y software como parte de su funcionalidad. [DAM91]
Los tipos más comunes de criptogrgafía son: RSA (River Shamin-Adleman), PGP (pretty good privacy), Diffe Helman, DES y SKIP. [CIELENS99]
3.4 Autentificación.
Una manera de garantizar la seguridad es verificando la identidad del mensaje fuente. Esto puede ser llevado a cabo a través de tecnologías para la autentificación del usuario tales como firmas o certificados digitales. Las firmas digitales son mensajes codificados electrónicamente que acompañan a los mensajes de texto e identifican al autor del documento. Los certificados digitales usan una organización intermediaria para verificar la autenticidad y el origen de alguien que envía información [CIELENS99]
3.5 Servidor de transacciones seguro.
Existen varios métodos para asegurar que las transacciones entre los consumidores y los negocios sea segura. Entre las herramientas que se pueden utilizar se encuentran el protocolo SSL (secure socket layer), cuya función principal es crear un enlace seguro entre el servidor de Web y el navegador, también se puede utilizar el protocolo SET (secure
electronic transaction) desarrollado por MasterCard y Visa para ventas seguras por tarjetas de crédito. [CIELENS99]
El protocolo SSL fue desarrollado por Netscape para permitir confidencialidad y autenticación en Internet. SSL opera como una capa adicional entre Internet y las aplicaciones, esto permite que el protocolo sea independiente de la aplicación, siendo posible utilizar FTP, Telnet y otras aplicaciones además de HTTP.
Para establecer una comunicación segura utilizando SSL se tienen que seguir una serie de pasos. Primero se debe hacer una solicitud de seguridad. Después de haberla hecho, se deben establecer los parámetros que se utilizarán para SSL. Esta parte se conoce como SSL Handshake. Una vez se haya establecido una comunicación segura, se deben hacer verificaciones periódicas para garantizar que la comunicación sigue siendo segura a medida que se transmiten datos. Luego que la transacción ha sido completada, se termina SSL. Lo anterior se muestra gráficamente en la figura 4.
CLIENTE
• Dígame Ud. quien es. • Aquí están las protocolos
que yo soporto
- Con su certificado he verificado su identidad y tengo su llave pública. • Aquí está una llave secreta
que he creado con sus protocolos y encriptado con su llave pública.
• Aquí va una copia de todo ID que hemos dicho, encriptada con nuestra llave secreta.
probar mi identidad
- Aquí están los protocolos que he decidido que vamos a jtil LY
- Aquí va una copjajde todo fo que hemos dicho, encriptada con nuestro llave secreta
W
[image:34.624.135.504.309.721.2]INTERCAMBIO DE DATOS UTILIZANDO SSL
Capítulo 4
Auditoría.
4.1 ¿Que es la Auditoría?.
Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad que consiste en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas.
El objeto sometido a estudio, sea cual sea su soporte por una parte, y la finalidad con la que se realiza el estudio, definen el tipo de auditoría de que se trata. Se pueden enumerar las auditorías de clase informática, financiera, de gestión y de cumplimiento. El objeto de una auditoría informática son los sistemas de aplicación, los recursos informáticos, los planes de contingencia, y su finalidad es determinar si presenta una operatividad eficiente y alineada a las normas establecidas.
La opinión profesional, elemento esencial de la auditoría, se fundamenta y justifica por medio de unos procedimientos específicos tendientes a proporcionar una seguridad razonable de lo que se afirma.
Se pueden descomponer el concepto anterior en los elementos fundamentales que a continuación se especifican:
1) contenido - una opinión 2) condición - profesional
3) justificación - sustentada en determinados procedimientos
4) objeto - una determinada información obtenida en un cierto soporte
5) finalidad - determinar si presenta adecuadamente la realidad o si ésta responde a las expectativas que le son atribuidas, es decir, su fiabilidad
Como es natural, cada una de las clases o tipos de auditoría posee sus propios procedimientos para alcanzar el fin previsto aún cuando puedan en muchos caso coincidir. El alcance de la auditoría, nos viene dado por los procedimientos. La amplitud y profundidad de los procedimientos nos define su alcance.
Con la auditoría se pretende garantizar que se toman en consideración todos los aspectos, áreas, elementos, operaciones, circunstancias, etc. que sean significativas. [PIATTI98]
4.2 Consultoría.
La consultoría consiste en "dar asesoramiento o consejo sobre lo que se ha de hacer o como llevar adecuadamente una determinada actividad para obtener los fines deseados."
Los elementos de la consultoría podrían resumirse en:
1) contenido - dar asesoramiento o consejo 2) condición - de carácter especializado
3) justificación - en base a un examen o análisis
4) objeto - la actividad o cuestión sometida a consideración
5) finalidad - establecer la manera de llevarla a cabo adecuadamente.
La consultoría es una función a priori con el fin de determinar cómo llevar a cabo una función o actividad de forma que obtenga los resultados pretendidos. La auditoría verifica a posteriori si estas condiciones, una vez realizada esta función o actividad, se cumplen y si los resultados pretendidos se obtienen realmente.
Dependiendo de que su contenido sea opinar sobre unos resultados vs. dar asesoramiento o consejo en relación con una actividad a desarrollar, se tratará de auditoría o de consultoría. Esta distinción nos resulta importante cuando se quieren delimitar las funciones. [PIATTI98]
4.3 Control Interno Informático.
El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas, así como los requerimientos legales fijados por la dirección de la organización y/o la dirección de informática.
Se puede definir el control interno como "cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos." [PIATTI98]
Históricamente, los objetivos del control informático se han clasificado en las siguientes categorías:
• Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.
• Controles correctivos: Facilitan la vuelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.
Los controles pueden implantarse a varios niveles diferentes como por ejemplo, en el entorno de red, en la configuración del ordenador, en el entorno de aplicaciones, en las herramientas, etc.
En muchas organizaciones, el auditor ha dejado de centrarse en la evaluación y la comprobación de los resultados de procesos, desplazando su atención a la evaluación de riesgos y la comprobación de controles. Muchos de los controles se incorporan en programas informáticos o se realizan por parte de la función informática de la organización, representado por el control interno informático. El enfoque centrado en controles normalmente exige conocimientos informáticos a nivel de la tecnología utilizada en el área de la organización que se examina.
La misión del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. Suele ser un órgano staff de la dirección de informática. [PIATTI98]
4.4 Auditoría Informática.
La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y si utiliza eficientemente los recursos.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoría y otras técnicas asistidas por ordenador.
Se pueden establecer 3 grupos de funciones a realizar por un auditor informático.
- Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informáticas, así, como en las fases análogas de realización de cambios importantes.
- Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.
- Revisar y juzgar el nivel de eficacia, utilidad, Habilidad y seguridad de los equipos e información.
La evolución de ambas funciones (control interno y auditoría informática) ha sido espectacular durante la última década.
Muchos responsables del control interno fueron una vez auditores. De hecho, muchos de los actuales responsables del control interno informático recibieron formación de seguridad informática tras su paso por la formación de auditoría.[PIATTI98]
Aunque ambas figuras tienen objetivos comunes, existen diferencias:
Similitudes:
- Personal interno.
- Conocimientos especializados en Tecnología de la información.
- Verificación del cumplimiento de controles internos, normativa y procedimientos, establecidos por la dirección de informática y la dirección general para los sistemas de información.
Diferencias:
Control Interno:
- Análisis de los controles día a día.
- Informa a la dirección del departamento de informática. - Solo personal interno.
- El alcance de sus funciones es únicamente de sus funciones sobre el departamento de informática.
Auditor Informático:
- Análisis de un momento informático determinado. - Informa a la dirección general de la organización. - Personal interno y/o externo.
- Tiene cobertura sobre todos los componentes de los sistemas de información de la organización.
Si definimos la "seguridad" de los sistemas de información como la doctrina de los
una de las figuras involucradas en este proceso de protección, preservación de la marión y de sus medios de proceso.
Por tanto el nivel de seguridad informática en una entidad es un objetivo a evaluar y está directamente relacionado con la calidad y eficiencia de un conjunto de acciones y medidas destinadas a proteger y preservar la información de la entidad y sus medios de proceso.
La auditoría informática tiene las siguientes funciones:
- Vigilancia y evaluación mediante dictámenes, todas sus metodologías van encaminadas a esta función.
- Evaluar costo, eficiencia y seguridad en su más amplia visión, esto es todos los riesgos informáticos.
- Operan según el plan auditor.
- Utilizan metodologías de evaluación del tipo cualitativo con la característica de las pruebas de auditoría.
- Establecen planes quinquenales como ciclos completos.
- Sistemas de evaluación de repetición de la auditoría por nivel de exposición del área auditada y el resultado de la última auditoría de esta área. [PIATTI98]
Los principales objetivos que constituyen la auditoría informática son el control de la función informática, el análisis de la eficiencia de los sistemas informáticos que comporta, la verificación del cumplimiento de la normativa general de la empresa en ese ámbito y la revisión de la gestión eficaz de los recursos materiales y humanos. [IBM99].
4.5 Metodologías de evaluación de sistemas en la auditoría.
En el mundo de la seguridad de sistemas se utilizan todas las metodologías necesarias para realizar un plan de seguridad.
Antes de profundizar en estas metodologías introduzcamos una serie de definiciones:
• Amenaza.- Es una persona o cosa vista como posible fuente de peligro o catástrofe. Ejemplos: inundación, incendio, robo de datos, sabotaje, agujeros publicados, falta de procedimientos de emergencia, divulgación de datos, implicaciones contra la ley, aplicaciones mal diseñadas, gastos incontrolables, etc.
• Riesgo: La probabilidad de que una amenaza llegue a acaecer por una vulnerabilidad. Ejemplo: Los datos estadísticos de cada evento de una base de datos de incidentes.
• Exposición o impacto. La evaluación del efecto de riesgo. Ejemplo: Es frecuente evaluar el impacto en términos económicos, aunque no siempre se puede hacer como es el caso de vidas humanas, imagen de la empresa, honor, defensa nacional, etc.
Todos los riesgos que se presentan podemos:
• Evitarlos: Por ejemplo: no construir un centro donde hay peligro constante de inundaciones.
• Transferirlos: Por ejemplo usar un centro de cálculo contratado.
• Reducirlos: Por ejemplo utilizar un sistema de detección y extinción de incendios. • Asumirlos: Que es lo que no se hace si no se controla el riesgo en absoluto. [PIATTI98]
4.5.1 Tipos de metodologías.
Las dos metodologías de evaluación de sistemas más utilizadas son las de análisis de riesgos y auditoría informática, que tienen enfoques distintos. La auditoría informática solo identifica el nivel de exposición por la falta de controles, mientras que el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de las mismas.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático, se pueden agrupar en dos grandes familias. Estas son según Piattini Velthus [PIATTI98]:
• Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo. Son diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos. Estos valores en el caso de metodologías de análisis de riesgos o de planes de contingencias son datos de probabilidad de ocurrencia de un evento que se debe extraer de un registro de incidencias donde el número de incidencias tienda al infinito o sea suficientemente grande.
Las metodologías más comunes de evaluación de sistemas que podemos encontrar son las de análisis de riesgos, las de plan de contingencia y las de auditoría de controles generales.
Metodología de análisis de riesgos.- Están desarrolladas para la identificación de la falta de controles y el establecimiento de un plan de contra medidas. Existen dos tipos, las cuantitativas y las cualitativas. [PIATTI98]
El esquema básico de una metodología de análisis de riesgos es en esencia:
• Cuestionario.
• Identificar los riesgos. • Calcular el impacto.
• Identificar las contramedidas y el coste. • Simulaciones.
• Creación de los informes.
En base a unos cuestionarios se identifican las vulnerabilidades y riesgos y se evalúa el impacto para mas tarde identificar las contramedidas y el coste. La siguiente etapa es la mas importante, pues mediante un juego de simulación analizamos el efecto de las distintas contramedidas en la disminución de los riesgos analizados eligiendo de esta manera un plan de contramedidas que compondrá el informe final de la evaluación.
Plan de contingencias.- El auditor debe conocer perfectamente los conceptos de un plan de contingencias para poder auditarlo. El plan de contingencias es una estrategia planificada constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación encaminada a conseguir una restauración progresiva y ágil de los servicios de negocio afectados por una paralización total o parcial de la capacidad operativa de la empresa. Las fases de un plan son las siguientes:
• Análisis y diseño. • Desarrollo del plan. • Pruebas y mantenimiento.
4.6 Plan Auditor Informático.
Es el esquema más importante del auditor informático. En este documento se debe de describir todo sobre esta función y el trabajo que realiza en la entidad.
Las partes son las siguientes:
• Funciones: Ubicación de la figura en el organigrama de la empresa. Debe de existir una clara segregación de funciones con la informática y de control interno informático y éste debe ser auditado también. Deben describirse las funciones de forma precisa.
• Procedimientos: Para las distintas tareas de la auditoría. Entre ellos están el procedimiento de apertura, el de entrega y discusión de debilidades, entrega del informe preliminar, cierre de auditoría, redacción del informe final.
• Tipos de auditorías: Que se realizan, metodologías y cuestionarios de las mismas.
• Sistemas de evaluación y los distintos aspectos que evalúa. Se puede hacer de 3 niveles, bien, regular y mal, según el grado de gravedad. Esta evaluación final nos servirá para definir la fecha de repetición de la misma auditoría en el futuro.
• Nivel de exposición: Permite en base a la evaluación final de la ultima auditoría realizada sobre ese tema definir la fecha de la repetición de la misma.
• Seguimiento de las acciones correctoras.
• Plan quinquenal: Todas las tareas a auditar deben de corresponderse con cuestiones arios metodológicos y deben de repartirse en cuatro a cinco años de trabajo.
• Plan de trabajo anual: Deben de estimarse tiempos de manera racional y poner un calendario que una vez terminado nos dé un resultado de horas de trabajo previstas y por tanto de los recursos que necesitarán.
• Las metodologías de auditoría informática: son del tipo cualitativo/subjetivo. Podemos decir que son las subjetivas por excelencia. [PIATTI98]
4.7 Auditoría de la seguridad informática.
Puede haber seguridad sin auditoría, puede existir auditoría de otras áreas y queda un espacio de encuentro: la auditoría de la seguridad, cuya área puede ser mayor o menor según la entidad y el momento.
Figura 4.1 Área de oportunidad de la auditoría
Debe de evaluarse en la auditoría si los modelos de seguridad están en consonancia con las nuevas arquitecturas, con las distintas plataformas y las posibilidades de las comunicaciones, por que no se puede auditar con conceptos, técnicas o recomendaciones de hace algunos años.
Los controles de la seguridad informática además de poderlos dividir en manuales y automáticos, o en generales y de aplicación son las siguientes:
• Controles directivos, son los que establecen las bases, así como las políticas o la creación de comités relacionados o de funciones de administración de seguridad o auditoría de sistemas de información interna.
• Controles preventivos: antes del hecho, como la identificación de visitas (seguridad física) o las contraseñas (seguridad lógica).
• Controles de detección como determinadas revisiones de accesos producidos o la detección de incendios.
• Controles correctivos, para rectificar errores, negligencias o acciones intencionadas, como la recuperación de un archivo dañado a partir de una copia.
• Controles de recuperación, que facilitan la vuelta a la normalidad después de accidentes o contingencias, como puede ser un plan de continuidad adecuado.
Áreas que puede cubrir la auditoría de seguridad.
• Lo que se ha denominado controles directivos, es decir, los fundamentos de la seguridad: políticas, planes, funciones, existencia y funcionamiento de algún comité
relacionado, objetivos de control, presupuesto, así como que existen sistemas y métodos de evaluación periódica de riesgos.
• El desarrollo de las políticas: procedimientos, posibles estándares, normas y guías, sin ser suficiente que existan estas últimas.
• Que para los grupos anteriores se haya considerado el marco jurídico aplicable, así como las regulaciones o los requerimientos aplicables a cada entidad.
• Amenazas físicas externas: inundaciones, incendios, explosiones cortes de líneas o de suministro, terremotos, terrorismo, huelgas, etc.
• Control de accesos adecuados, tanto físicos como los denominados lógicos, para que cada usuario pueda acceder a los recursos a los que esta autorizado y realizar sólo las funciones permitidas: lectura, variación, ejecución, borrado, copia, etc. y quedando las pistas necesarias para el control y auditoría, tanto de accesos producidos al menos a los recursos más críticos como los intentos en determinados casos.
• Protección de los datos, se refiere a los datos de carácter personal bajo tratamiento automatizado y otros controles en cuanto a los datos en general, según la clasificación que exista, la designación de propietarios y los riesgos a que estén sometidos.
• Comunicaciones y redes: topología y tipo de comunicaciones, posible uso de cifrado, protecciones antivirus, éstas también en sistemas aislados aunque el impacto será menor que en una red.
• El entorno de producción, entendiendo como tal explotación más técnica de sistemas, y con especial énfasis en el cumplimiento de contratos en lo que se refiere a protecciones, como el servicio recibido de otros, y de forma especial en el caso de la contratación total o outsourcing.
• El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que éstos resulten auditables.
• La continuidad de las operaciones.
4.7.1 Fases de la auditoría de seguridad.
Con carácter general pueden ser:
• Concreción de los objetivos y delimitación del alcance y profundidad de la auditoría, así como del período cubierto en su caso, por ejemplo revisión de accesos del último trimestre; si no se especifica, los auditores deberán citar en el informe el período revisado, por que podría aparecer alguna anomalía anterior, incluso de hace mucho tiempo, y llegarse a considerar una debilidad de la auditoría.
• Análisis de posibles fuentes de recopilación de información: en el caso de los internos este proceso puede no existir.
• Determinación del plan de trabajo y de los recursos y plazos en caso necesarios, así como de comunicación a la entidad.
• Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles de especialistas necesarios, sobre todo en la auditoría externa.
• Análisis de resultados y valoración de riesgos. • Presentación y discusión del informe provisional. • Informe definitivo.
El alcance de los aspectos de seguridad en cómputo incluyen:
• Seguridad física.- Se evalúan las protecciones físicas de datos, programas, instalaciones, equipos, redes y soportes y por supuesto a las personas.
• Seguridad lógica.- Verificar que cada usuario sólo pueda acceder a los recursos a los que le autorice el propietario, aunque sea de forma genérica, según su función, y con las posibilidades que el propietario haya fijado.
• Seguridad en el desarrollo de aplicaciones.- Todos los desarrollos deben de estar autorizados a distinto nivel según la importancia del desarrollo a abordar, etc.
• Seguridad en área de la producción.- Las entidades han de cuidar especialmente las medidas de protección en el caso de la contratación de servicios: desde el posible marcado de datos, proceso, impresión de etiquetas, distribución acciones comerciales, etc.
• Auditoría de la seguridad de los datos.- La protección de los datos puede tener varios enfoques respecto a las características citadas: la confidencialidad, disponibilidad, e integridad.
• Auditoría de la seguridad en comunicaciones y redes.- En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines autorizados, por seguridad y por productividad.
• Auditoría de la continuidad de las operaciones.- Consiste en la revisión de los planes de contingencia.
La necesidad de acreditar y certificar la seguridad de los sistemas de cómputo ha sido muy discutido y publicado en organizaciones publicas y privadas. Han sido desarrolladas por agencias federales guías para que ofrecen técnicas de control de calidad para la seguridad de cómputo.
4.7.2 Técnicas, métodos y herramientas.
En cada proceso de auditoría se fijan los objetivos, ámbito y profundidad, lo que sirve para la planificación y para la consideración de las fuentes, según los objetivos, así como de las técnicas, métodos y herramientas más adecuados. El factor sorpresa puede llegar a ser necesario en las revisiones, según lo que se requiera verificar.
Como métodos y técnicas podemos considerar los cuestionarios, las entrevistas, la observación, los muéstreos, las utilidades y programas, los paquetes específicos, las pruebas, la simulación en paralelo con datos reales y programas de auditor o la revisión de programas.
4.8 El Informe final.
En el se harán constar los antecedentes y objetivos, para que quienes lean el informe puedan verificar que ha habido una comunicación adecuada, así como que metodología de evaluación de riesgos y estándares se ha utilizado, y una breve descripción de los entornos revisados para que se pueda verificar que se han revisado todas las plataformas y sistemas objeto de la auditoría.
En cada punto que se incluya debe explicarse por que es un incumplimiento o una debilidad, así como alguna recomendación antes de emitir el definitivo.
El informe ha de ser necesariamente revisado por los auditados, así como discutido si es necesario antes de emitir el definitivo. La entidad decide que acciones tomar a partir del informe.
