5.

6 AUDITORA A LA SEGURIDAD DE INFRAESTRUCTURA DE RED

Cuando se efecta una auditora a la infraestructura de red, el auditor de SI debe: - Revisar los diagramas de red (redes de campo de LAN en la localidad, WANS, MANs) que identifican a la infraestructura interconectada de las organizaciones, la cual incluira gateways, firewalls, enrutadores, switches, hubs, servidores de acceso, mdems, etc. Esta informacin es importante porque el auditor de SI querr evaluar estos enlaces para determinar si los debidos controles de acceso fsico y lgico estn vigentes y para inventariar las diversas conexiones de terminales para asegurar que el diagrama sea correcto. Identificar el diseo de red implementado, incluyendo la estrategia de IP usada, la segmentacin de enrutadores y de switches para el ambiente de de la localidad, y configuraciones y protocolos WAN. Determinar que existen las polticas, normas, procedimientos y orientacin de los ambientes de la localidad sobre la gestin y el uso de la red, y que han sido distribuidos al personal, gerencia de red, y a la administracin. El/ella deben tambin asegurar que los miembros del personal hayan sido capacitados en sus deberes y responsabilidades. Identificar quin es el responsable de la seguridad y operacin de las conexiones de Internet, y evaluar si tiene suficientes conocimientos y experiencia para asumir dicha funcin Determinar si se han considerado los problemas legales que surgen del uso de la Internet. (Las consideraciones deben incluir la responsabilidad que surge de las pginas web incorrectas; legislacin respecto a la venta o publicidad de productos regulados, tales como servicios financieros; implicaciones de venta/compra en diferentes pases; y el estado de aplicacin de trminos de contrato estndar para comercio electrnico) Si el servicio es externo, revisar los contratos de nivel de servicio para asegurar que incluyan disposiciones para la seguridad adems de disponibilidad y calidad de servicio Revisar los procedimientos del administrador de red para asegurar que los componentes del hardware y del software estn actualizados en respuesta a nuevas vulnerabilidades

Pruebas de Penetracin de la Red

Las combinaciones de procedimientos, por los cuales un auditor de SI usa las mismas tcnicas que un hacker, se denominan pruebas de penetracin, pruebas de intrusin o hacking tico. ste es un mtodo efectivo de identificar los riesgos de tiempo real para un ambiente de procesamiento de informacin. Durante la prueba de penetracin, un auditor trata de evadir las caractersticas de seguridad de un sistema y explota las vulnerabilidades para tener acceso que de otro modo sera no autorizado. El alcance puede variar dependiendo de los trminos y condiciones del cliente y los requerimientos. Sin embargo, desde la perspectiva de riesgo de una auditora, lo siguiente debera mencionarse claramente en el alcance de auditora:

Direccin(es)/rangos precisos de IP a ser probados Anfitrin restringido (es decir, los anfitriones que no deben ser probados) Tcnicas aceptables de prueba (es decir, ingeniera social, DoS/DDoS, SQL injection, etc.) Aceptacin de la metodologa propuesta por la gerencia Hora del simulacro de ataque (es decir, horas hbiles, horas no hbiles, etc.) - Direcciones de IP de la fuente del simulacro de ataque (para identificar entre ataque simulado aprobado y ataque real) Punto de contacto tanto para el que efecta la prueba/auditor como el propietario/administrador del sistema en cuestin Manejo de la informacin recolectada por el que prueba/el auditor de la penetracin (es decir, NDA o referencia a las reglas de compromiso estndar) Notificacin de advertencia de parte del que prueba/del auditor de la penetracin, antes de que comience el simulacro para evitar falsas alarmas para los organismos de ejecucin de las leyes

5.6.1 AUDITORA AL ACCESO REMOTO

El uso remoto de los recursos de informacin mejora espectacularmente la productividad del negocio, pero genera problemas de control y reas de atencin para la seguridad. En este sentido, los auditores de SI deben determinar que todas las capacidades de acceso remoto usadas por una organizacin provean una seguridad efectiva para los recursos de informacin de la organizacin. Los controles de seguridad de acceso remoto deben ser documentados e implementados para los usuarios autorizados que operan fuera del ambiente confiado de red. Al revisar la arquitectura existente de acceso remoto, los auditores de SI deben valorar los puntos de entrada de acceso remoto revisando cuntos (conocidos/desconocidos) existen y si se necesita mayor control centralizado de los puntos de acceso remoto. Los auditores de SI deben tambin revisar los puntos de acceso para verificar que existen los controles apropiados, como por ejemplo en el uso de los VPNs, mecanismos de autenticacin, encriptacin, firewalls, e IDs. Como parte de esta revisin, el auditor debe tambin probar los controles de acceso de llamada. Para probar la autorizacin de acceso de llamada telefnica, el auditor de SI debe llamar a la computadora desde un nmero de lneas telefnicas autorizadas y no autorizadas. Si los controles son adecuados, ocurrir una conexin exitosa con los nmeros autorizados solamente. El auditor de SI debe probar los controles lgicos invocados despus de conexiones autorizadas a la computadora se logran usando las conexiones de llamada exitosas para tratar de ganar acceso no autorizado a archivos. La realizacin de esta prueba debe ser coordinada a travs del administrador de seguridad para evitar violar regulaciones de seguridad. Al revisar iniciativas futuras de acceso remoto, los auditores de SI deben primero determinar si el diseo y desarrollo de los mtodos de acceso remoto se basan en una solucin rentable, basado en el riesgo tomando en cuenta los requerimientos del negocio. Esto incluye valorar el tipo de ambientes remotos aplicables, la integridad y disponibilidad de los servicios de telecomunicacin, y las medidas requeridas a asumir para proteger la infraestructura corporativa.

Revisiones y Valoracin de Toda la Red

Al completarse la prueba de penetracin, se debe realizar una revisin comprensiva de todas las vulnerabilidades del sistema de red para determinar si se han identificado las amenazas a la confidencialidad, integridad y disponibilidad. Las siguientes revisiones deben realizarse: Revisar las polticas y los procedimientos de seguridad para determinar que las mejores prcticas estn establecidas. Evaluar la configuracin de la red y del Firewall y asegurar que las mismas hayan sido diseadas para soportar la seguridad de los servicios que se ofrecen (enrutadores de filtrado, Host de dual/mltiple domicilio, subred de filtrado, servidores Proxy de zona desmilitarizada). Asegurar que los controles de acceso lgico soporten la separacin de funciones (desarrollo frente a operacin, administracin de la seguridad frente a auditora).

Auditora a los "Puntos de Presencia" de Internet Cuando se hace una auditora de la presencia de una organizacin en la Internet, el Auditor de SI debe revisar el uso de la Internet para verificar que un caso de negocio (business case) se ha demostrado para alguno de los siguientes usos: Correo electrnico (por ejemplo, comunicaciones hacia/desde socios de negocio, clientes y el pblico en general) Mercadeo (por ejemplo, mecanismo para comunicar los valores del cliente como por ejemplo catlogo de compras en lnea desde el hogar) Canal de ventas/comercio electrnico (por ejemplo, orden/pedido electrnica/o de bienes/servicios, compra de bienes desde catlogo de compras del hogar usando tarjetas de crdito o transmisin electrnica de mensajes de rdenes, formateados en estndar EDI, por socios de negocio) Canal de entrega de bienes/servicios (como por ejemplo libreras, banca en lnea por Internet) Recoleccin de informacin (por ejemplo, personal navegando en la red en busca de informacin)

Se debe determinar lo siguiente: Que est instalado el software de deteccin de intrusiones. Que se realice el filtrado. Que se use la encriptacin (considerar las redes privadas virtuales/tneles, firmas digitales para correo electrnico, etc.). Que se usen formas robustas de autenticacin (considerar el uso de tarjetas inteligentes, biomtrica, etc., para autenticacin mediante el uso de firewalls, software/hardware interno dentro de la red, hardware/software externo). Que los firewalls estn debidamente configurados (considerar la eliminacin de todo software innecesario, adicin de software de seguridad y de auditora, eliminacin de logon-ids que no sean necesarios, inhabilitar los servicios que no se usen). Que los Gateways al nivel de circuito o de aplicacin en uso, estn ejecutando servidores proxy para todos los servicios legtimos (telnet, http, ftp, TELNET, HTTP, FTP etc.). Que se use exploracin de virus. Se completan pruebas de penetracin peridicas. Que se tengan registros de auditora para todos los sistemas clave (firewalls, Gateways de aplicacin, enrutadores, etc.). y que los registros de auditora sean copiados para asegurar los sistemas de archivo (considerar grabacin directa de los registros de auditora a cdrom de una sola escritura).

Que los administradores de la seguridad estn revisando los ltimos reportes de CERT, CIAC y SANS en busca de violaciones de seguridad de Internet.

estar prohibidos en el sitio de procesamiento de informacin (IPF). Esta prohibicin debe ser pblica, por ejemplo, un letrero en la puerta de entrada.

Desarrollo y Autorizacin de Cambios a la Red Deben existir procedimientos especficos de desarrollo y control de cambios para el hardware y el software de los componentes de la red. Los procedimientos deben abarcar: Firewalls Enrutadores Switches Gateways de aplicacin Topologa de red/DNS Software de cliente Software de gestin de la red Hardware y configuracin de servidor web Software de aplicacin Pginas web Cambios No Autorizados Los controles para prevenir cambios no autorizados al software y a las configuraciones del software incluyen: Segregacin de funciones entre el desarrollo de software, administracin de software y las operaciones de computadora. Restringir el acceso del equipo de desarrollo de software al ambiente de desarrollo solamente. Restringir el acceso a los cdigos fuente de software.

16. Materiales de Oficina Resistentes al Fuego 17. Planes Documentados y Probados de Evacuacin durante Emergencias

5.8 EXPOSICIONES Y CONTROLES DE ACCESO FSICO 5.8.1 PROBLEMAS Y EXPOSICIONES DE ACCESO FSICO
Exposiciones de Acceso Fsico Las exposiciones que se presentan por la violacin accidental o intencional de estas vas de acceso incluyen las siguientes: Entrada no autorizada Dao, vandalismo o robo de los equipos o documentos Copia o visualizacin de informacin sensible o patentada Alteracin de equipos e informacin sensibles Revelacin al pblico de informacin sensible Abuso de los recursos de procesamiento de datos Chantaje Fraude Otras preguntas y preocupaciones para considerar incluyen las siguientes: Las facilidades de hardware estn razonablemente protegidas contra las entradas forzadas? Las llaves del sitio de cmputo estn controladas de una forma adecuada para reducir el riesgo de un acceso no autorizado? Estn las terminales de las computadoras cerradas con llave o de otro modo aseguradas para impedir que se lleven las tarjetas, los chips y la computadora misma? Se requieren pases autorizados para el traslado de los equipos antes de que los equipos de computadora sean sacados de sus reas normales seguras? Desde una perspectiva de SI, las instalaciones que deben ser protegidas incluyen las siguientes: El rea de programacin La sala de computadoras Las consolas y terminales del Operador Biblioteca de cintas, cintas, discos y todos los medios magnticos Salas de almacenamiento y suministros Sitios externos de almacenamiento de archivos Sala de control de Entrada/Salida Clsets de comunicaciones Equipo de telecomunicaciones (incluyendo radios, satlites, alambrado, mdems y conexiones de red externas) Microcomputadoras y computadoras personales (PCs) Fuentes de Energa Sitios de eliminacin de basura Establecimientos de minicomputadoras Telfonos/Lneas telefnicas dedicadas Unidades de control y procesadores de entrada (front-end) Equipo porttil (escneres y dispositivos de codificacin manuales, lectores de cdigos de barras, computadoras porttiles o laptop y notebooks, adaptadores de bolsillo LAN y otros) Impresoras locales y remotas Redes de rea local

5.7 EXPOSICIONES Y CONTROLES AMBIENTALES

5.7.1 PROBLEMAS Y EXPOSICIONES AMBIENTALES Algunas preguntas que deben ser atendidas por las organizaciones son: Est el suministro de energa al equipo de computadora debidamente controlado para garantizar que permanezca dentro de las especificaciones del fabricante? Son los sistemas de control del aire acondicionado, la humedad y la ventilacin para el equipo de computadora los adecuados para mantener las temperaturas dentro de las especificaciones de los fabricantes? Est el equipo de computadoras protegido de los efectos de la electricidad esttica, usando una alfombra antiesttica o un aerosol antiesttico? Se mantiene el equipo de computadora libre de polvo, humo y otras partculas de materia, como por ejemplo comida? Est prohibido por poltica el consumo de comida, bebidas y productos de tabaco, alrededor del equipo de cmputo? Estn los medios de respaldo protegidos de daos debidos a temperaturas extremas, a los efectos de los campos magnticos y a daos de agua? 5.7.2 CONTROLES PARA LAS EXPOSICIONES AMBIENTALES Los controles ambientales estn descritos en las siguientes subsecciones. 1. Paneles de Control de Alarmas Un panel de control de alarmas debe tericamente estar: Separado de sistemas contra robo o de seguridad ubicados en los locales Accesible al personal del departamento de bomberos en todo momento Ubicado en una caja a prueba de agua En conformidad con los requerimientos de temperatura fijados por el fabricante Situado en una habitacin controlada, para impedir el acceso por personal no autorizado Debe estar recibiendo energa desde un circuito dedicado y separado Capacitado para controlar o desactivar zonas separadas dentro de las instalaciones Acatando las regulaciones locales y nacionales y aprobado por las autoridades locales 2. Detectores de Agua 3. Extintores Manuales de Incendio 4. Alarmas Manuales de Incendios 5. Detectores de Humo 6. Sistemas de Supresin de Incendios 7. Ubicacin Estratgica de la Sala de Computadoras 8. Inspeccin Peridica del Departamento de Bomberos 9. Paredes, Pisos y Techos Alrededor del Centro de Cmputo a Prueba de Incendios 10. Protectores de Voltaje 11. Suministro/Generador Ininterrumpido de Energa Elctrica (UPS) 12. Switch de Energa de Emergencia 13. Lneas de Energa Provenientes de Dos Subestaciones 14. Cableado Colocado en Paneles y Conductos Elctricos 15. Actividades inhibidas dentro de la IPF: Los alimentos, las bebidas y el
tabaco pueden ocasionar incendios, acumular contaminantes o daar equipos sensibles (en particular en el caso de los lquidos). Por ello deben

5.8.2 CONTROLES DE ACCESO FSICO

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. Las cerraduras de pestillo Cerraduras de combinacin (cipher locks) Cerraduras de puertas electrnicas Cerraduras biomtricas Registro manual Registro (logging) electrnico Insignias o carns de identificacin (IDs fotogrficas) Cmaras de video Guardias de seguridad Acceso controlado de visitantes 11. Personal afianzado: Todo el personal de servicio contratado, como
por ejemplo el personal de limpieza y los servicios de almacenamiento externo, debe estar afianzado (contar con una fianza). Esto no mejora la seguridad fsica pero limita la exposicin financiera de la organizac.

12. No Publicitar la ubicacin de las reas sensibles 13. Bloqueo de las terminales de computadoras 14. Sistema de alarma 15. Ventanas: Idealmente, la sala de computacin no debe tener ventanas
hacia la parte exterior de la edificacin: en los casos en los que haya ventanas, deben ser fabricadas de vidrio reforzado y si est en el primer piso, con proteccin adicional, por ejemplo, con barras.